logogogo最新变种XP.exe的分析(Win32.Logogo)
日期:2007/11/17 (转载请保留此声明)
这是之前logogo.exe病毒的最新变种,此次变种可谓是该系列病毒的一个标志性的变种,如同原先的crsss化身成为“禽兽”病毒一样...
技术细节:
File: logogogo.exe
Size: 17196 bytes
Modified: 2007年11月17日, 10:06:48
MD5: CBD42479BD49AEB0E839B3D4F116516B
SHA1: F1DC3254693CC11C70BCDCB2EC124BD82E550AC5
CRC32: 9510B8CC
加壳方式:Upack 0.3.9
AV命名:Win32.Logogo.a(瑞星)
1.病毒有两个参数启动自身
-down 和-worm分别执行的是下载和感染操作
2.衍生如下副本:
%systemroot%\system\logogogo.exe
在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的
3.创建注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<logogogo><%systemroot%\system\logogogo.exe> []
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。
4.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身。
360rpt.exe
360Safe.exe
360tray.exe
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EGHOST.EXE
ESAFE.EXE
EXPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FESCUE.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
Iparmor.exe
JEDI.EXE
KAV32.exe
KAVPFW.EXE
KAVsvc.exe
KAVSvcUI.exe
KVFW.EXE
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
KVwsc.exe
KvXP.kxp
KWatchUI.EXE
LOCKDOWN2000.EXE
Logo1_.exe
Logo_1.exe
LOOKOUT.EXE
LUALL.EXE
MAILMON.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
Navapsvc.exe
Navapw32.exe
NAVLU32.EXE
NAVNT.EXE
navw32.EXE
NAVWNT.EXE
NISUM.EXE
NMain.exe
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
PFW.EXE
Rav.exe
RAV7.EXE
RAV7WIN.EXE
RAVmon.exe
RAVmonD.exe
RAVtimer.exe
Rising.exe
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
THGUARD.EXE
TrojanHunter.exe
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
修复工具.exe
5.感染除如下文件夹内的*.exe文件
windows
winnt
recycler
system volume information
并不感染如下exe文件
XP.EXE
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe
zhengtu.exe
nettools.exe
laizi.exe
proxy.exe
Launcher.exe
WoW.exe
Repair.exe
BackgroundDownloader.exe
o2_unins_web.exe
O2Jam.exe
O2JamPatchClient.exe
O2ManiaDriverSelect.exe
OTwo.exe
sTwo.exe
GAME2.EXE
GAME3.EXE
Game4.exe
game.exe
hypwise.exe
Roadrash.exe
O2Mania.exe
Lobby_Setup.exe
CoralQQ.exe
QQ.exe
QQexternal.exe
BugReport.exe
tm.exe
ra2.exe
ra3.exe
ra4.exe
ra21006ch.exe
dzh.exe
Findbug.EXE
fb3.exe
Meteor.exe
mir.exe
KartRider.exe
NMService.exe
AdBalloonExt.exe
ztconfig.exe
patchupdate.exe
被感染文件尾部被加入一个名为.ani的节。被感染文件运行后会释放一个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exe
6.连接网络下载***
读取[url]http://dow.[/url]*.us/xxx.txt的下载列表
然后下载
[url]http://dow.[/url]*.com/1.exe~[url]http://dow.[/url]*.com/20.exe到%systemroot%\system下面
并以SYSTEM128.tmp作为下载文件过程中的临时文件
7.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息
8.病毒体内留有作者留下的广告信息:“出售下载者 QQ 2892*”
Snap1.jpg (7.22 KB)
病毒***植入完毕后的sreng日志如下:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxsima.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><%systemroot%\system32\rsmyhpm.dll> []
<{A2AC7E3B-30BE-466f-8BAB-1FF9DADD8C7D}><%systemroot%\system32\KVBatch01.dll> []
<{5A321487-4977-D98A-C8D5-6488257545A5}><%systemroot%\system32\kapjezy.dll> []
<{5A1247C1-53DA-FF43-ABD3-345F323A48D5}><%systemroot%\system32\avwgemn.dll> []
<{6859245F-345D-BC13-AC4F-145D47DA34F6}><%systemroot%\system32\avzxfmn.dll> []
<{4960356A-458E-DE24-BD50-268F589A56A4}><%systemroot%\system32\avwldmn.dll> []
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><%systemroot%\system32\rarjepi.dll> []
<{A6650011-3344-6688-4899-345FABCD156A}><%systemroot%\system32\ratbjpi.dll> []
<{38907901-1416-3389-9981-372178569983}><%systemroot%\system32\kawdczy.dll> []
<{9D561258-45F3-A451-F908-A258458226D9}><%systemroot%\system32\kvdxsima.dll> []
<{44783410-4F90-34A0-7820-3230ACD05F44}><%systemroot%\system32\raqjdpi.dll> []
<{97D81718-1314-5200-2597-587901018079}><%systemroot%\system32\kaqhizy.dll> []
<{38847374-8323-FADC-B443-4732ABCD3783}><%systemroot%\system32\sidjczy.dll> []
<{8D47B341-43DF-4563-753F-345FFA3157D8}><%systemroot%\system32\kvmxhma.dll> []
<{24909874-8982-F344-A322-7898787FA742}><%systemroot%\system32\swjqbzc.dll> []
<{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}><%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
<IFEO[360rpt.exe]><%systemroot%\system\logogogo.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
<IFEO[360Safe.exe]><%systemroot%\system\logogogo.exe> []...
==================================
正在运行的进程
[PID: 1724][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%systemroot%\system32\rsmyhpm.dll] [N/A, ]
[%systemroot%\system32\KVBatch01.dll] [N/A, ]
[%systemroot%\system32\kapjezy.dll] [N/A, ]
[%systemroot%\system32\avwgemn.dll] [N/A, ]
[%systemroot%\system32\avzxfmn.dll] [N/A, ]
[%systemroot%\system32\avwldmn.dll] [N/A, ]
[%systemroot%\system32\rarjepi.dll] [N/A, ]
[%systemroot%\system32\ratbjpi.dll] [N/A, ]
[%systemroot%\system32\kawdczy.dll] [N/A, ]
[%systemroot%\system32\kvdxsima.dll] [N/A, ]
[%systemroot%\system32\raqjdpi.dll] [N/A, ]
[%systemroot%\system32\kaqhizy.dll] [N/A, ]
[%systemroot%\system32\sidjczy.dll] [N/A, ]
[%systemroot%\system32\kvmxhma.dll] [N/A, ]
[%systemroot%\system32\swjqbzc.dll] [N/A, ]
[%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
%systemroot%\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
%systemroot%\system32\qdshm.dll(, N/A)
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE
[D:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE...
解决办法:
下载sreng:[url]http://download.kztechs.com/files/sreng2.zip[/url]
Xdelbox:[url]http://www.dodudou.com/down/[/url]里面的原创软件文件夹下
首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
分别解压Xdelbox和sreng
(注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
并删除所有红色的IFEO项目
修复-系统修复-重置winsock
2.解压Xdelbox所有文件到一个文件夹
在 添加旁边的框中 分别输入
%systemroot%\system32\rsmyhpm.dll
%systemroot%\system32\KVBatch01.dll
%systemroot%\system32\kapjezy.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avzxfmn.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\rarjepi.dll
%systemroot%\system32\ratbjpi.dll
%systemroot%\system32\kawdczy.dll
%systemroot%\system32\kvdxsima.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\kaqhizy.dll
%systemroot%\system32\sidjczy.dll
%systemroot%\system32\kvmxhma.dll
%systemroot%\system32\swjqbzc.dll
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
3.重启计算机后
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除%systemroot%\system\logogogo.exe
%systemroot%\system32\qdshm.dll
在左边的资源管理器中单击打开每个盘
删除各个盘根目录下的XP.exe和autorun.inf
4.打开sreng
启动项目 注册表
双击AppInit_DLLs把其键值清空
5.使用杀毒软件全盘杀毒修复被感染的exe文件(如果杀毒软件也被感染,请重装杀毒软件以免造成反复感染)
转载于:https://blog.51cto.com/yuncx/50975
logogogo最新变种XP.exe的分析(Win32.Logogo)相关推荐
- 黑狐木马最新变种——“肥兔”详细分析
腾讯电脑管家 · 2015/07/14 12:14 0x00 背景 近期,腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马,经过回溯分析,发现其主要是通过伪装成" ...
- 【转载】撒旦(Satan 4.2)勒索病毒最新变种加解密分析
[转载]原文来自:https://bbs.kafan.cn/thread-2135007-1-1.html 一.概述 近日,腾讯御见威胁情报中心检测到一大批的服务器被入侵,入侵后被植入勒索病毒.经过分 ...
- 感染[熊猫烧香变种 spoclsv.exe]
熊猫烧香变种 spoclsv.exe 病毒名称:Worm.Win32.Delf.bf(Kaspersky) 病毒别名:Worm.Nimaya.d(瑞星) Win32.Trojan.QQRobber.n ...
- Phobos病毒家族最新变种.faust后缀勒索病毒活跃传播
目录 前言:简介 一.什么是.faust勒索病毒? 二..faust勒索病毒是如何传播感染的? 三.中了.faust后缀勒索病毒文件怎么恢复? 四.加密数据恢复案例 五.以下是预防faust勒索病毒安 ...
- 【转载】Globelmposter勒索病毒最新变种预警
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666.Zeus666.Aphrodite666.Apollon666等,目前国内已有多家大型医院率先发现 ...
- Mallox勒索病毒最新变种.malox勒索病毒来袭,如何恢复受感染的数据?
Mallox勒索病毒是一种针对计算机系统的恶意软件,能够加密受感染计算机上的文件.最近,新的Mallox病毒变种.malox勒索病毒被发现并引起了关注,.malox勒索病毒这个后缀已经是Mallox勒 ...
- CS -exe木马分析
CS -exe木马分析 Cobalt Strike是渗透测试工具,可以通过exe木马实现远程控制. 一:生成exe Windows Executable 生成可执行exe木马:payload分段 Wi ...
- 需求分析报告应该包含哪些部分_2020最新抖音用户画像分析报告:粉丝都有哪些特点和需求?...
本文相关:抖音用户画像分析.抖音用户画像报告.2020最新抖音用户画像分析等 不管是做抖音运营还是抖音直播,了解粉丝,了解用户的需求是非常重要的!做任何事情,对症下药你才能事半功倍!比如你的粉丝想要梨 ...
- 34个最新的营销失败案例分析
34个最新的营销失败案例分析 看完麦片案例,从策划 执行 检查 纠正几个环节来讲故事,收获颇多. 同类书籍 请看 吴晓波<大败局 pdf> 转载于:https://www.cnblogs ...
- 中晋最新消息2020年_2020年萍乡房价走势最新消息及未来趋势预测分析
当今,房子可以说是人们人生当中的一件重大物品,买房子是人生当中的大事情.很多人在买房之前都会去考虑一下房子的价格,因为房价的高低会影响房子的整个开销,进而影响我们的钱袋子.下面就与小编一起看看2020 ...
最新文章
- 【Qt】使用QCamera获取摄像头,并使用图像视图框架QGraphics*来显示
- ABAP更改程序的请求包操作
- 使用shell脚本实现自动SSH互信功能
- linux库引入之动态库静态库(生成和使用)
- 网络请求之优化参数添加工具类自定义Map类
- 今晚直播 | Oracle技术加油站:快速处理紧急性能问题的工具与经验
- 让大家信任自己,做个行为和语言上都没黑盒子的技术人员(转)
- python类takes no arguments_Python构造函数报错:TypeError: People() takes no arguments
- Luogu4113 [HEOI2012]采花
- php搭建聊天室,php聊天室_用PHP MySQL搭建聊天室
- excel转置怎么操作_直接理解转置卷积(Transposed convolution)的各种情况 - 颀周
- Oracle 触发器写法
- excel只显示公式,不显示结果
- 单例模式(DCL、holder等)
- 计算机对团队合作的重要性,市计算机:团队协作,共同奋斗
- PDF文件如何添加页面或插入其他PDF页面
- 借助云开发,利用订阅消息,云函数路由实现小程序好友一对一聊天,添加好友等仿微信功能
- 五星好评点亮效果(精灵图)
- matlab 空间方程,matlab - 如何从MNA方程组到MATLAB中的状态空间[A,B,C,D] mimo? - 堆栈内存溢出...
- 奶茶制作APP开发模式解析