中文版 | ENGLISH | 韩文
旗下网站:梦网手机
首页 | 安全资讯 | 企业热线 | 软件下载 | 安全保姆 | 关于我们 | 论坛
HKC安全网软件公告
红客中国自主开发的红客网警系列软件将在10月隆重上市,敬请关注。(红客中国反入侵精灵将暂时停止下载)
   
   
   
   
首页 > 安全资讯 > 病毒公告
“LOGOGO”病毒技术细节
发布日期:2007-11-17 21:59:00      共阅38次
 

危险等级:★★★
病毒名称:Win32.Logogo.a
截获时间:2007-11-15
入库版本:20.18.32
类型:病毒

感染的操作系统: Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况:

传播级别:高

全球化传播态势:低

清除难度:困难

破坏力:高

破坏手段:感染EXE文件

  这是一个感染型病毒
 
    病毒运行后,先通过GetCommandLine判断是否有参数存在,如果没有,病毒则默认以参数"_sys"利用CreateProcessA进行启动.当病毒以"_sys"启动后,会先自身复制到"%SYSTEMROOT%"SYSTEM目录中,并改名为logogo.exe.病毒会修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun项下建立一个"logogo" = %WINDOWS%SYSTEMLOGOGOGO.EXE的子键达到自启动的目的.病毒会使用SetTimer设置一个回调函数,该函数的作用就是每1分钟分别以"down","worm"做为参数,启动病毒,进行感染和下载的操作.病毒还会创建一个线程,线程的作用包括往注册表内写RUN项,获得当前机器名,MAC地址等,但作用未知,也许是作者留着以后备用的.病毒还会在修改注册表SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution里的所有子项里添加Debugger项,指向病毒本身.

 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360rpt.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360safe.EXE
    HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360tray.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAVP.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAvMonitor.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIparmor.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVMonxp.kxp
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVSrvXP.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVWSC.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNavapsvc.EXE
  HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNod32kui.EXE
    HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRegEx.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFrameworkservice.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMmsk.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsWuauclt.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAst.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsWOPTILITIES.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRegedit.EXE
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAutoRunKiller.exe
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsVPC32.exe
 HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsVPTRAY.exe
 
    病毒会在上述键值内,加入 Debugger = "C:winntsystemlogogo.exe 子键和键值.被修改后,如果运行上述程序,刚被直接指向到C:winntsystemlogogo.exe这个病毒上面
 
    当病毒以worm参数进行启动时,病毒的工作为感染全盘后缀为exe的文件,并在所有FIX_DISK盘符内写入autorun.inf和病毒本身(病毒被改名来XP.exe).其中autorun.inf的内容为:
 [AutoRun]
 OPEN=XP.EXE
 shellexecute=XP.EXE
 shell打开(&O)command=XP.EXE

    病毒在感染文件时,会遍历该文件的节名,当发现节名中存在"ani"时,就会跳过该文件,继续感染下一个.
 
    当病毒以down参数进行启动时.病毒会先利用InternetGetConnectedState检测网络状态,再利用InternetReadFile从网址http://x.XXXX.com/test.jpg下载病毒,并保存在C:WINNTsystemSYSTEM128.VXD位置上,并使用Winexec运行该病毒. 

Copyright ◎ 2004 - 2008 红客中国安全网版权所有