这是一个网络蠕虫病毒。它通过互联网资源复制自身。该蠕虫自身是一个 Windows PE EXE 文件,大小 49152 字节。使用 UPX 加密并且解密后文件大小 219 KB 。它是使用 Borland Delphi 编写的。
安 装:
在安装时该蠕虫复制自身到 Windows 根目录:
%WinDir%/rundl132.exe
该蠕虫注册该文件到系统注册表中以确保每次开机后自动加载。在 Win 98/Me 系统中:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"load"="%WinDir%/rundl132.exe"
在其它系统中:
[HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows]
"load"="%WinDir%/rundl132.exe"
该蠕虫随后检测系统日期,如果系统日期晚于 2105 年 1 月 4 日 ,它将终止活动。
该蠕虫同样会在系统跟目录下注册一个名为 Dll.dll 大小 24 575 字节的文件:
%WinDir%/dll.dll
该蠕虫随后注册动态链接库到 Explorer.exe 和 Iexplore.exe 进程中,同时创建以下注册表键值:
[HKLM/Software/Soft/DownloadWWW]
"auto"="1"
通过局域网传播:
该蠕虫复制自身到以下共享网络资源:
ADMIN$
IPC$
行为分析:
该蠕虫扫描该系统并且终止以下名称的进程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
mcshield.exe
RavMon.exe
Ravmond.EXE
regsvc.exe
该蠕虫同样会关闭金山反病毒软件的服务。
它同样会查找除了以下目录中的所有 EXE 文件:
Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Recycled
System
System Volume Information
system32
windows
Windows NT
WindowsUpdate
winnt
该蠕虫会检测以下文件名,并且将该蠕虫本体注入这些程序文件:
ACDSee4.exe
ACDSee5.exe
ACDSee6.exe
AgzNew.exe
Archlord.exe
AutoUpdate.exe
autoupdate.exe
BNUpdate.exe
Datang.exe
editplus.exe
EXCEL.EXE
flashget.exe
foxmail.exe
FSOnline.exe
GameClient.exe
install.exe
jxonline_t.exe
launcher.exe
lineage.exe
LineageII.exe
MHAutoPatch.exe
Mir.exe
msnmsgr.exe
Mu.exe
my.exe
NATEON.exe
NSStarter.exe
Patcher.exe
patchupdate.exe
QQ.exe
Ragnarok.exe
realplay.exe
run.exe
setup.exe
Silkroad.exe
Thunder.exe
ThunderShell.exe
TTPlayer.exe
Uedit32.exe
Winrar.exe
WINWORD.EXE
woool.exe
zfs.exe
当这些文件被运行时,将会执行一个被感染的病毒文件。
在所有目录中扫描扩展名为 .exe 的文件,该蠕虫创建一个文件名为 "_desktop.ini" 的文件。该文件使用 " 隐藏 " 和 " 系统 " 属性 ,并且包含该蠕虫运行的日期。
该蠕虫同样发送一个 ICMP 请求使用 “Hello, World” ,来检测可用的网络资源。随后扫描所有共享网络资源并且感染以上所提到的文件。
该蠕虫如果在系统中发现 avp.exe 进程则会将卷级别设置为 0 。
该蠕虫包含一个 URLs 地址列表来检测文件。如果该文件被保存到任意一个地址,它将被下载到系统中并运行。
对于中毒的朋友.本人只能说节哀顺便.如果实在想补救.有以下办法.
进入安全模式 什么都表点.开始-运行-regedit
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/IniFileMapping/system.ini/boot]
winlogo 项
删掉.C:/WINDOWS/SWS32.DLL
HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删掉C:/WINDOWS/SWS32.dll 类似的都删掉.还有/RunOnce/RunOnceEx 项里面也检查一下.
为安全记.在注册表里搜索以下值 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 把搜索到的键值全部删掉.
搜索到的那些键值.一定要记得路径.比如c:/windows/sws32.dll c:/windows/logo1_.exe 等.注册表信息删掉后.在c盘把这些东西删掉.
然后在运行里输入msconfig 后面启动项里.把没见过的启动项都取消.
如果是网吧机子.server服务一定要关.因为该病毒会通过共享传播.并试图解开共享机子的用户密码.达到传送文件的目的.
做到这一步.请安装卡巴斯基.查毒.然后把所有染毒对象全部删除. 当然.以卡巴死基的一贯风格.会删除N多系统文件.请使用系统修复功能来修复系统...OVER.
其实以我的意思.中了这个毒.基本上就没有修复的必要了.每重新启动一次机子.病毒体会自身复制得更多.重新装一个系统并不麻烦.麻烦的是要重新装系统后. 怎么才能做到不再感染此病毒.这也是我想要说的.经过查阅病毒资料.和自己一惯手动杀毒经验.本人使用以下防毒思路.测试效果良好.
重新装过系统后.(装系统过程请拔掉网线)在c:/windows/下 创建几个新文件.分别命名为
logo1_.exe sws32.dll sws.dll 等.并把该文件属性设置为只读.
其实病毒祸首就是logo1_.exe 理论上说只创建这一个就可以了。
开始-运行 输入gpedit.msc
本地计算机策略--用户配置--管理模板--系统 双击右面的 不要运行指定的windows程序 选择已启用 点下面的显示那里 里面添加如下文件名 logo1_.exe logo1_.exe kill.exe 至于是否还有其他病毒主体名.大家也多查查。
到这一步.基本上该病毒就无法运行了.
其实防止logo1_.exe运行还有一个办法.就是在启动项里添加一个批处理.该批处理内容为
attrib c:/window/logo1_.exe -r -h
del c:/window/logo1_.exe /y
多复制几行。 把其他要删的文件名加上
就是启动系统时就把这些文件删掉.当然就无法运行了。 ..不过.通常这种办法会失灵.;)
还有一点就是防止点QQ信息里面的链接.开启QQ安全中心.如果想要显示QQ信息里连的链接但是不想点他。 也有办法.
在QQ菜单-设置-安全设置-网络信息安全 把安全级别设置为最高. 下面聊天信息安全里面两个勾都去掉.
表乱进不熟悉的网站.
一句话.良好的上网习惯是最好的杀毒利器.
手都打酸了。希望能对大家所帮助...
PS:偶表达能力差.表打击偶.有什么不明白的地方偶编辑下..
以下是修改过的logo1virus.bat
省了第一步.也就是说.直接运行logo1vires.bat后.去修改组策略.就万无一失了.修改过的logo1virus.bat内容为
---------------------------------------------------
echo > c:/windows/Logo1_.exe
echo > c:/windows/rundl132.exe
echo > c:/windows/0Sy.exe
echo > c:/windows/vDll.dll
echo > c:/windows/1Sy.exe
echo > c:/windows/2Sy.exe
echo > c:/windows/rundll32.exe
echo > c:/windows/3Sy.exe
echo > c:/windows/5Sy.exe
echo > c:/windows/1.com
echo > c:/windows/exerouter.exe
echo > c:/windows/EXP10RER.com
echo > c:/windows/finders.com
echo > c:/windows/Shell.sys
echo > c:/windows/smss.exe
echo > c:/windows/kill.exe
echo > c:/windows/sws.dll
echo > c:/windows/sws32.dll
attrib c:/windows/Logo1_.exe +s +r +h
attrib c:/windows/rundl132.exe +s +r +h
attrib c:/windows/0Sy.exe +s +r +h
attrib c:/windows/vDll.dll +s +r +h
attrib c:/windows/1Sy.exe +s +r +h
attrib c:/windows/2Sy.exe +s +r +h
attrib c:/windows/rundll32.exe +s +r +h
attrib c:/windows/3Sy.exe +s +r +h
attrib c:/windows/5Sy.exe +s +r +h
attrib c:/windows/1.com +s +r +h
attrib c:/windows/exerouter.exe +s +r +h
attrib c:/windows/EXP10RER.com +s +r +h
attrib c:/windows/finders.com +s +r +h
attrib c:/windows/Shell.sys +s +r +h
attrib c:/windows/smss.exe +s +r +h
attrib c:/windows/kill.exe +s +r +h
attrib c:/windows/sws.dll +s +r +h
attrib c:/windows/sws32.dll +s +r +h
-------------------------------------------
刚才整理了一下.修改组策略那里已经被我写成注册表。请把以下内容复制到文本里.修改成reg后缀导入就可.
------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Group Policy Objects/本地User/Software/Microsoft/Windows/CurrentVersion/Policies/ Explorer/DisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"14"="rundll32.exe"
"15"="Shell.sys"
"16"="smss.exe"
"17"="smss.exe"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll"
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
2。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。
我电脑那天中了这个病毒 杀了一天 痛苦啊 所有盘的可执行文件都被感染了