logogogo最新变种XP.exe分析(Win32.Logogo)

  • 时间:
  • 浏览:1
  • 来源:大发6合平台-大发PK10网投平台_大发快3投注平台





作者: 爱毒霸社区 清新阳光

CNETNews.com.cn

2007-11-21 11:21:11

关键词: logogo.exe logogogo 病毒

  logogogo最新变种XP.exe的分析(Win32.Logogo)

   ( http://hi.baidu.com/newcenturysun)

这是过后logogo.exe病毒的最新变种,此次变种可谓是该系列病毒的有一另四个标志性的变种,如同另有一另四个的crsss化身成为“禽兽”病毒一样...

技术细节:



File: logogogo.exe

Size: 17196 bytes

Modified: 2007年11月17日, 10:06:48

MD5: CBD42479BD49AEB0E839B3D4F116516B

SHA1: F1DC3254693CC11C70BCDCB2EC124BD82E5200AC5

CRC32: 9510B8CC

加壳法律方法:Upack 0.3.9

AV命名:Win32.Logogo.a(瑞星)

1.病毒有有一另四个参数启动自身



-down 和-worm分别执行的是下载和感染操作

2.衍生如下副本:



%systemroot%systemlogogogo.exe

在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的

3.创建注册表启动项目



HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

<logogogo><%systemroot%systemlogogogo.exe> []

达到开机启动的目的

在HKLMSOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。

4.在HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下面创建映像劫持项目,指向病毒并不是。



3200rpt.exe

3200Safe.exe

3200tray.exe

ACKWIN32.EXE

ANTI-TROJAN.EXE

APVXDWIN.EXE

AUTODOWN.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCTRL.EXE

AVKSERV.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPTC32.EXE

AVPUPD.EXE

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

CLAW95CF.EXE

CLEANER.EXE

CLEANER3.EXE

DVP95.EXE

DVP95_0.EXE

ECENGINE.EXE

EGHOST.EXE

ESAFE.EXE

EXPWATCH.EXE

F-AGNT95.EXE

F-PROT.EXE

F-PROT95.EXE

F-STOPW.EXE

FESCUE.EXE

FINDVIRU.EXE

FP-WIN.EXE

FPROT.EXE

FRW.EXE

IAMAPP.EXE

IAMSERV.EXE

IBMASN.EXE

IBMAVSP.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFACE.EXE

IOMON98.EXE

Iparmor.exe

JEDI.EXE

KAV32.exe

KAVPFW.EXE

KAVsvc.exe

KAVSvcUI.exe

KVFW.EXE

KVMonXP.exe

KVMonXP.kxp

KVSrvXP.exe

KVwsc.exe

KvXP.kxp

KWatchUI.EXE

LOCKDOWN2000.EXE

Logo1_.exe

Logo_1.exe

LOOKOUT.EXE

LUALL.EXE

MAILMON.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCANW.EXE

Navapsvc.exe

Navapw32.exe

NAVLU32.EXE

NAVNT.EXE

navw32.EXE

NAVWNT.EXE

NISUM.EXE

NMain.exe

NORMIST.EXE

NUPGRADE.EXE

NVC95.EXE

PAVCL.EXE

PAVSCHED.EXE

PAVW.EXE

PCCWIN98.EXE

PCFWALLICON.EXE

PERSFW.EXE

PFW.EXE

Rav.exe

RAV7.EXE

RAV7WIN.EXE

RAVmon.exe

RAVmonD.exe

RAVtimer.exe

Rising.exe

SAFEWEB.EXE

SCAN32.EXE

SCAN95.EXE

SCANPM.EXE

SCRSCAN.EXE

SERV95.EXE

SMC.EXE

SPHINX.EXE

SWEEP95.EXE

TBSCAN.EXE

TCA.EXE

TDS2-98.EXE

TDS2-NT.EXE

THGUARD.EXE

TrojanHunter.exe

VET95.EXE

VETTRAY.EXE

VSCAN40.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSTAT.EXE

WEBSCANX.EXE

WFINDV32.EXE

ZONEALARM.EXE

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

修复工具.exe

5.感染除如下文件夹内的*.exe文件



windows

winnt

recycler

system volume information

暂且感染如下exe文件



XP.EXE

CA.exe

NMCOSrv.exe

CONFIG.exe

Updater.exe

WE8.exe

settings.exe

PES5.exe

PES6.exe

zhengtu.exe

nettools.exe

laizi.exe

proxy.exe

Launcher.exe

WoW.exe

Repair.exe

BackgroundDownloader.exe

o2_unins_web.exe

O2Jam.exe

O2JamPatchClient.exe

O2ManiaDriverSelect.exe

OTwo.exe

sTwo.exe

GAME2.EXE

GAME3.EXE

Game4.exe

game.exe

hypwise.exe

Roadrash.exe

O2Mania.exe

Lobby_Setup.exe

CoralQQ.exe

QQ.exe

QQexternal.exe

BugReport.exe

tm.exe

ra2.exe

ra3.exe

ra4.exe

ra22006ch.exe

dzh.exe

Findbug.EXE

fb3.exe

Meteor.exe

mir.exe

KartRider.exe

NMService.exe

AdBalloonExt.exe

ztconfig.exe

patchupdate.exe

被感染文件尾部被加入有一另四个名为.ani的节。被感染文件运行都是释放有一另四个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exe

6.连接网络下载木马



读取http://dow.*.us/xxx.txt的下载列表

如果 下载

http://dow.*.com/1.exe~http://dow.*.com/20.exe到%systemroot%system下面

并以SYSTEM128.tmp作为下载文件过程中的临时文件

7.病毒同都是获得当前机器名,操作系统版本,MAC地址等信息

8.病毒体内留有作者留下的广告信息:“出售下载者 QQ 2892*”





病毒木马植入完毕后的sreng日志如下:

启动项目



注册表

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

<logogogo><%systemroot%systemlogogogo.exe> []

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]

    <AppInit_DLLs><kvdxsima.dll> []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

    <><%systemroot%system32rsmyhpm.dll> []

    <><%systemroot%system32KVBatch01.dll> []

    <><%systemroot%system32kapjezy.dll> []

    <><%systemroot%system32avwgemn.dll> []

    <><%systemroot%system32avzxfmn.dll> []

    <><%systemroot%system32avwldmn.dll> []

    <><%systemroot%system32rarjepi.dll> []

    <><%systemroot%system32ratbjpi.dll> []

    <><%systemroot%system32kawdczy.dll> []

    <><%systemroot%system32kvdxsima.dll> []

    <><%systemroot%system32raqjdpi.dll> []

    <><%systemroot%system32kaqhizy.dll> []

    <><%systemroot%system32sidjczy.dll> []

    <><%systemroot%system32kvmxhma.dll> []

    <><%systemroot%system32swjqbzc.dll> []

    <><%Program Files%Internet ExplorerPLUGINSWn_Sys8x.Sys> []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options0rpt.exe]



    <IFEO[3200rpt.exe]><%systemroot%systemlogogogo.exe> []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options0Safe.exe]

    <IFEO[3200Safe.exe]><%systemroot%systemlogogogo.exe> []...

==================================



正在运行的任务管理器池池

[PID: 1724][%systemroot%Explorer.EXE] [Microsoft Corporation, 6.00.2900.21200 (xpsp_sp2_rtm.0402003-2158)]

    [%systemroot%system32rsmyhpm.dll] [N/A, ]

    [%systemroot%system32KVBatch01.dll] [N/A, ]

    [%systemroot%system32kapjezy.dll] [N/A, ]

    [%systemroot%system32avwgemn.dll] [N/A, ]

    [%systemroot%system32avzxfmn.dll] [N/A, ]

    [%systemroot%system32avwldmn.dll] [N/A, ]

    [%systemroot%system32rarjepi.dll] [N/A, ]

    [%systemroot%system32ratbjpi.dll] [N/A, ]

    [%systemroot%system32kawdczy.dll] [N/A, ]

    [%systemroot%system32kvdxsima.dll] [N/A, ]

    [%systemroot%system32raqjdpi.dll] [N/A, ]

    [%systemroot%system32kaqhizy.dll] [N/A, ]

    [%systemroot%system32sidjczy.dll] [N/A, ]

    [%systemroot%system32kvmxhma.dll] [N/A, ]

    [%systemroot%system32swjqbzc.dll] [N/A, ]

    [%Program Files%Internet ExplorerPLUGINSWn_Sys8x.Sys] [N/A, ]

==================================

Winsock 提供者

MSAPI Tcpip [TCP/IP]

    %systemroot%system32qdshm.dll(, N/A)

MSAPI Tcpip [UDP/IP]

    %systemroot%system32qdshm.dll(, N/A)

==================================

Autorun.inf

[C:]

[AutoRun]

OPEN=XP.EXE

shellexecute=XP.EXE

shell打开(&O)command=XP.EXE

[D:]

[AutoRun]

OPEN=XP.EXE

shellexecute=XP.EXE

shell打开(&O)command=XP.EXE...

处理法律方法:下载sreng:http://download.kztechs.com/files/sreng2.zip



Xdelbox:http://www.dodudou.com/down/上端的原创软件文件夹下

首先重启计算机进入安全模式下(开机后不断 按F8键 如果 出来有一另四个高级菜单 选者第一项 安全模式 进入系统)



分别解压Xdelbox和sreng

(注意:机会winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)

1.打开sreng



启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

<logogogo><%systemroot%systemlogogogo.exe> []

并删除所有红色的IFEO项目

修复-系统修复-重置winsock

2.解压Xdelbox所有文件到有一另四个文件夹



在 加上旁边的框中 分别输入

%systemroot%system32rsmyhpm.dll

%systemroot%system32KVBatch01.dll

%systemroot%system32kapjezy.dll

%systemroot%system32avwgemn.dll

%systemroot%system32avzxfmn.dll

%systemroot%system32avwldmn.dll

%systemroot%system32rarjepi.dll

%systemroot%system32ratbjpi.dll

%systemroot%system32kawdczy.dll

%systemroot%system32kvdxsima.dll

%systemroot%system32raqjdpi.dll

%systemroot%system32kaqhizy.dll

%systemroot%system32sidjczy.dll

%systemroot%system32kvmxhma.dll

%systemroot%system32swjqbzc.dll

%Program Files%Internet ExplorerPLUGINSWn_Sys8x.Sys

输入完有一另四个过后 点击旁边的加上 按钮 被加上的文件 将突然突然出现在下面的大框中

如果 一次性选中 (按住ctrl)下面大框中所有的文件

右键 单击 点击 重启立即删除

3.重启计算机后



双击我的电脑,工具,文件夹选项,查看,单击选者"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示选者更改时,单击“是” 如果 选者

点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)

在左边的资源管理器中单击打开系统所在盘

删除%systemroot%systemlogogogo.exe

%systemroot%system32qdshm.dll

在左边的资源管理器中单击打开每个盘



删除各个盘根目录下的XP.exe和autorun.inf

4.打开sreng



启动项目 注册表

双击AppInit_DLLs把其键值清空

5.使用杀毒软件全盘杀毒修复被感染的exe文件(机会杀毒软件也被感染,请重装杀毒软件以免造成反复感染)