病毒日志

最新推荐文章于 2022-10-25 14:33:55 发布
最新推荐文章于 2022-10-25 14:33:55 发布
阅读量1k 收藏
点赞数
分类专栏: 网络安全 文章标签: windows system express dll kill service
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faqsd/article/details/1854574
版权
病毒名称:蠕虫病毒Win32.Looked.H
其它名称:W32/Gavir.worm (McAfee), Win32/Looked.G!Worm, Win32.Looked.H, W32.Looked.I (Symantec), PE_LOOKED.O (Trend), Worm.Win32.Viking.j (Kaspersky)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:
具体介绍:


病毒特性:
Win32.Looked.H是一种通过网络共享感染文件的蠕虫。它是大小为27,111字节,以Upack格式压缩的Win32可运行程序。它生成一个22,528字节的DLL文件,用来下载并运行二进制运行程序。


感染方式:
运行时,Win32.Looked.H使用以下文件名复制到%Windows%目录:
rundl132.exe
Logo1_.exe

注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:/Winnt,windows95/98/me中默认的安装路径是C:/Windows,windowsXP中默认的安装路径是C:/Windows。
它还会修改注册表,为了在每次系统启动时运行"rundl123.exe" 文件:
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/load = "%Windows%/rundl132.exe"

随后,蠕虫在当前目录生成一个DLL文件"vDll.dll"。它会注入Explorer程序,并被用来下载和在Explorer程序中启动程序。


传播方式 :
通过感染文件传播
Looked.H在硬盘的z:/ 到 c:/ 驱动器循环移动。它从本地根目录开始,感染扩展名为.exe的文件。蠕虫预谋自己到目标文件,并将文件大小增长到27,111字节。蠕虫不感染超过10,485,760字节的文件,或者带有以下名称的子文件夹中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
/Program Files/Windows NT
/Program Files/WindowsUpdate
/Program Files/Windows Media Player
/Program Files/Outlook Express
/Program Files/Internet Explorer
/Program Files/ComPlus Applications
/Program Files/NetMeeting
/Program Files/Common Files
/Program Files/Messenger
/Program Files/Microsoft Office
/Program Files/Install Shield Installation Information
/Program Files/MSN
/Program Files/Microsoft Frontpage
/Program Files/Movie Maker
/Program Files/MSN Gaming Zone

蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期,是无害的txt文件。


通过网络共享传播
蠕虫尝试通过IPC$ 和 admin$共享进行传播,使用'administrator'用户名和空口令。它还会尝试很多自带的用户名和密码,包括一个空用户名和口令。

蠕虫列举本地C类地址段目标IP地址可用到的共享。


危害
下载并运行任意文件
蠕虫从"jcwz.net" 域下载很多文本和二进制运行文件。它还会尝试下载10个文本文件和10个运行文件。二进制运行文件下载到%Windows%目录,并随后运行。同时,我们还检测到下载文件感染以下病毒:
§ Win32/Firmox trojan variants
§ Win32/Lineage trojan variants
§ Win32/Lemir trojan variants


终止进程
Looked.H会终止以下运行的进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe         


使服务失效
如果以下服务在系统上运行,蠕虫将停止这个服务:
Kingsoft AntiVirus Service

清除:

KILL安全胄甲InoculateIT v23.72.28;Vet 12.6.2240 版本可检测/清除此病毒。

kill版本:
通讯服务器  受感染文件82
faqsd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
电脑病毒日志
12-27
面对病毒不要怕,看看这篇,病毒也不是很可怕。
病毒日志1
刘志浩的专栏
10-29 689
RavMonD.exe病毒发作寝室室友机器感染RavMonD.exe病毒,该病毒模仿瑞星的监控程序,一般仅会在安装瑞星杀毒软件的计算机上出现感染,并且大部分的感染原因是从未认证网站下载病毒升级包。病毒发作时弹出大量HelpCer无法找到的确认窗口,无法终止进程所有操作全部被限制,CPU利用率达到100%并且硬盘高速运行,光驱灯闪烁状态似乎在空读数据,几乎没有空闲进程,进程表被HelpCer
linux log病毒,病毒日志分析-EventLog Analyzer
weixin_35524152的博客
05-15 318
病毒日志分析-EventLog Analyzer几乎每个组织都使用防病毒软件来提高端点安全性。 使用一个工具,可以将来自杀毒工具的信息与所有其他网络信息进行整合和关联,安全管理员可以获得更多的上下文信息和可操作的洞察力,这些信息和洞察力可以帮助解决攻击和威胁.通过分析防病毒日志来检测威胁EventLog Analyzer 可以分析来自不同杀毒软件供应商的日志数据, 例如McAfee, ESET, ...
蠕虫病毒Synaptics.exe感染日记
u013102599的博客
10-25 1万+
Synaptics蠕虫病毒感染记录
日志、审计结果分析报告.docx
最新发布
01-06
1. 日志类型:日志类型是指日志的来源,例如操作系统日志、应用程序日志、网络设备日志等。不同的日志类型对应不同的安全事件,例如操作系统日志可能包含登录记录、访问控制记录等,应用程序日志可能包含错误信息、...
防止勒索病毒操作日志
05-24
记录一次内网检查勒索病毒的整个过程,比较详细了,各
office宏病毒专杀
12-23
【标题】"Office宏病毒专杀"涉及到的是关于Microsoft Office应用程序中的宏病毒防治技术。宏病毒是一种特殊类型的计算机病毒,它利用Office文档(如Word、Excel或PowerPoint)中的宏语言编写,能够在用户打开含有...
消灭病毒.rar
07-28
源码中可能会有调试日志和性能优化代码,这些有助于开发者查找和修复bug,提高游戏的稳定性和效率。 8. **学习与实践**: 对于初学者来说,通过研究《消灭病毒》的源码,可以学习到游戏开发的基本结构、编程技巧...
整理计算机病毒的知识点,计算机病毒知识点整理
weixin_39815410的博客
06-17 159
《计算机病毒分析与防范技术》知识点整理 本知识点涵盖期末考试的内容,请自行完善,以便用于开卷考试。7. ※清除宏病毒的方法清除宏病毒方法一、验证是否感染了宏病毒?打开需要检查的文档,单击“文件”菜单栏,选择“另存为”命令,如果对 话框中的保存类型固定为“文档模板”,则表示这个文件已经感染了宏病毒。二、清除宏病毒的方法1、 OFFICE2003方法:打开文档,工具――宏――宏(或者使用组合键“Alt...
病毒软件测试代码--测试你的杀软有多牛!欧洲计算机防病毒协会开发。
05-28
本代码由 欧洲计算机防病毒协会开发。可以立马测试你的杀毒软件是不是垃圾,注意,本病毒代码绝对不会伤害到机器。同时,还称该代码竟然可以对目前市面上的各家杀毒软件分出个优劣高下。 来吧!还等什么?!
[原创+总结]防火墙常见日志分析
热门推荐
zhz
10-28 1万+
       先申明本文不是什么技术文章,心情开朗就随便写写整理下(偶补考过了,高兴ing) 两年没用防火墙了(只做测试用),昨天装了个天网,感受下!以最常见的天网防火墙为例,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日
基于DNS日志分析,勒索病毒和远程控制病毒排查方法
xudxy的专栏
06-15 4554
 由于公司受到勒索病毒及一些远程控制病毒攻击,在杀毒软件不能正常查杀的情况下怎样知道全网有多少用户受到威胁,通过行业一些专业机构给出的处理方法,经验证,通过DNS日志分析是一个很好的排查手段,下面对本次排查过程进行分析,希望可以帮助到大家。           1.勒索病毒和远程控制病毒特征分析               通过网上收集,勒索病毒和远程控制病毒运行会访问特定域名,仅作为示例:   ...
病毒分析教程第一话--静态特征分析
安全杂货铺
06-21 4606
Lab 1 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 1-1 这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用文章描述的工具和技术来获取关于这些文件的信息。 问题1 将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件...
windows 服务器系统日志分析及安全
a18770840362的博客
05-30 3253
一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close表示关闭连接 TCP:表示使用的协议是Tcp 61.145.129.133:表示本地的IP 6...
威金杀虫剂作者农夫和威金病毒制造者的聊天记录
crystal521(云淡风轻)的专栏
01-11 2080
“威金杀虫剂作者农夫和威金病毒制造者的聊天记录”和威金作者的聊天记录如果在聊之前,可能我觉得我应该继续更新专杀的病毒库,继续帮助很多无辜的朋友解决问题,但是之后,我的想法改变了。所以我打算把这份聊天记录公开,并且从此刻起,不再分析威金的新变种,不再更新专杀病毒库,不再接受任何网友关于威金的提问。如果大伙觉得这样不公平,请去骂一骂那帮做杀毒软件的。或者,那些一直在问专杀没用,拒绝访问怎么回事
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值