找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 603|回复: 6

“LOGOGO”病毒技术细节 ->瑞星

[复制链接]

该用户从未签到

发表于 2007-11-19 01:35:17 | 显示全部楼层 |阅读模式
这是一个感染型病毒

    病毒运行后,先通过GetCommandLine判断是否有参数存在,如果没有,病毒则默认以参数"_sys"利用CreateProcessA进行启动.当病毒以"_sys"启动后,会先自身复制到"%SYSTEMROOT%"\SYSTEM目录中,并改名为logogo.exe.病毒会修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项下建立一个"logogo" = %WINDOWS%\SYSTEM\LOGOGOGO.EXE的子键达到自启动的目的.病毒会使用SetTimer设置一个回调函数,该函数的作用就是每1分钟分别以"down","worm"做为参数,启动病毒,进行感染和下载的操作.病毒还会创建一个线程,线程的作用包括往注册表内写RUN项,获得当前机器名,MAC地址等,但作用未知,也许是作者留着以后备用的.病毒还会在修改注册表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution里的所有子项里添加Debugger项,指向病毒本身. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE\
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.kxp\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE\
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE\
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wuauclt.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.exe\

    病毒会在上述键值内,加入 Debugger = "C:\winnt\system\logogo.exe 子键和键值.被修改后,如果运行上述程序,刚被直接指向到C:\winnt\system\logogo.exe这个病毒上面

    当病毒以worm参数进行启动时,病毒的工作为感染全盘后缀为exe的文件,并在所有FIX_DISK盘符内写入autorun.inf和病毒本身(病毒被改名来XP.exe).其中autorun.inf的内容为:
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE
    病毒在感染文件时,会遍历该文件的节名,当发现节名中存在"ani"时,就会跳过该文件,继续感染下一个.

    当病毒以down参数进行启动时.病毒会先利用InternetGetConnectedState检测网络状态,再利用InternetReadFile从网址下载病毒,并保存在C:\WINNT\system\SYSTEM128.VXD位置上,并使用Winexec运行该病毒.

该用户从未签到

 楼主| 发表于 2007-11-19 01:35:32 | 显示全部楼层
危险等级:★★★
病毒名称:Win32.Logogo.a
截获时间:2007-11-15
入库版本:20.18.32
类型:病毒

感染的操作系统: Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况:

传播级别:高

全球化传播态势:低

清除难度:困难

破坏力:高

破坏手段:感染EXE文件

该用户从未签到

发表于 2007-11-19 13:55:59 | 显示全部楼层
感染应用程序哦!!!
   跟熊猫差不多,不错!最起码得到提醒

该用户从未签到

发表于 2007-11-19 16:02:00 | 显示全部楼层
感染了会出现什么情况,没说啊

该用户从未签到

发表于 2007-11-20 01:35:09 | 显示全部楼层
呵呵 自己先把注册表修改了 看他怎么办?

该用户从未签到

发表于 2007-11-20 01:35:35 | 显示全部楼层
哦 还有 在锁定一下 禁止编辑..
应该能预防把?

该用户从未签到

发表于 2007-11-20 04:26:50 | 显示全部楼层
跟熊猫差不多,不错!最起码得到提醒

评分

参与人数 1金币 +10 +10 收起 理由
Simen.newbie + 10 + 10 恶意灌水

查看全部评分

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表