重要警报:穿透系统还原卡的木马病毒出现

转载 2006年06月08日 15:03:00
今天我已经遇到了许多Q群中蔓延着以下信息,
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !
http://www.search_2.shtml.cgi-client-entry.
photo.39pic.com/qq%xxxxxxE5†Œ2/"
大家看到以后千万别点,会产生灾难性后果,值得注意的是,这个具有穿透性传染力的病毒可以抵御还原卡和还原软件的防护.

Worm.Logo.b病毒
“logo”蠕虫病毒,该病毒通过IPC共享进行传播,会感染系统中的可执行文件.病毒还会从网上下载木马,从而窃取感染机器上的敏感信息.
此木马可以在局域网中传播,能穿透冰点 还原精灵的等还原软件.自动在QQ上发传播.而且病毒针对全盘,用Ghost恢复C盘是没用的.


2006-6-1 21:25:24 Encountered and terminated CoolWWWSearch.Oslogo in C:bootconf.exe!
2006-6-1 21:25:30 已拒绝 value "load" (new data: "C:WINDOWSrundl132.exe") 已修改 in NT startup!
2006-6-1 21:25:55 已拒绝 value "shoket" (new data: "C:WINDOWSsystem32SHELLEXTsvchs0t.exe") 已添加 in System Startup global entry!
2006-6-1 21:25:58 已拒绝 value "jiahus" (new data: "C:WINDOWSsystem32svchqs.exe") 已添加 in System Startup global entry!
2006-6-2 11:18:36 已拒绝 value "UserInit" (new data: "C:WINDOWSsystem32userinit.exe") 已修改 in Winlogon!
2006-6-2 11:18:53 已拒绝 value "UserInit" (new data: "C:WINDOWSsystem32userinit.exe") 已修改 in Winlogon!

珊瑚虫论坛中monfan的spybotlog记录.

主要症状:
1、占用大量网速,使机器使用变得极慢.
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标.
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出.
4、网吧中只感梁win2k pro版,server版及XP系统都不感染.
5、能绕过所有的还原软件.

详细技术信息:

病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件.

%WinDir%virDll.dll
该蠕虫会在系统注册表中生成如下键值:

[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]
"auto" = "1"

 盗取密码

  病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中.
  
阻止以下杀毒软件的运行
  病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程. 包括卡八斯基,金山公司的毒霸.瑞星等.98%的杀毒软件运行.
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件.如金山,瑞星等.哪些软件可以认出病毒.但是认出后不久就阵亡了.

通过写入文本信息改变"%System%driversetchosts" 文件.这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149.


病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播.一旦安装,蠕虫将会感染受感染计算机中的.exe文件.

该蠕虫是一个大小为82K的Windows PE可执行文件.

通过本地网络传播

该蠕虫会将自己复制到下面网络资源:

ADMIN$
IPC$

症状

蠕虫会感染所有.exe的文件.但是,它不会感染路径中包含下列字符串的文件:

Program Files

Common FilesComPlus Applications

Documents and Settings

NetMeeting

Outlook Express

Recycled

system

System Volume Information

system32

windows

Windows Media Player

Windows NT

WindowsUpdate

winnt
蠕虫会从内存中删除下面列出的进程:

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm

相关文章推荐

Win32.Rootkit.Lapka.Wozw 木马病毒分析

By: DeathMemory QQ: 123951548 Win32.Rootkit.Lapka.Wozw 木马病毒分析 前言病毒执行流程 整体流程监控服务 代码还原 Base64 ...

黑客通过linux bash漏洞借助apache cgi向产品服务器植入木马病毒的实例分享!

黑客通过linux bash漏洞借助apache cgi向产品服务器植入木马病毒的实例分享!

一个感染型木马病毒分析(一)

一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07...

木马病毒:英国歌手Amy Winehouse临死前的最后影片,勿点

作者:Cris Lumague,趋势科技诈骗分析师 网络犯罪份子最近很快开始利用Amy Winehouse的死讯进行在线攻击。Amy Winehouse是英国的传奇女歌手,上周末不幸过世,年仅27岁...
  • iqushi
  • iqushi
  • 2011年08月05日 15:15
  • 852

Backdoor.Zegost木马病毒分析(一)

http://blog.csdn.net/qq1084283172/article/details/50413426 一、样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文...

调戏木马病毒的正确姿势-基础篇

目录 ----------------------理论基础篇-------------------    从科幻小说说起:         危险的潘多拉盒子         来说说应用程序...
  • wodafa
  • wodafa
  • 2017年03月01日 10:51
  • 1299

微软杀木马病毒软件

  • 2013年09月24日 13:41
  • 14.15MB
  • 下载

Atitit.木马病毒强制强行关闭360 360tray.exe的方法

Atitit.木马病毒强制强行关闭360 360tray.exe的方法   1. taskkill /im 进程名称1 2. 用 wmic process where name="进程名称" c...
  • attilax
  • attilax
  • 2016年03月17日 19:56
  • 1173
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:重要警报:穿透系统还原卡的木马病毒出现
举报原因:
原因补充:

(最多只允许输入30个字)