警报-恶性病毒现身：穿透还原卡 杀死杀毒软件

近几天许多Q群中蔓延着以下信息：

看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ ! http://www.search_2.shtml.cgi-cl ... qq%xxxxxxE5%86%8C2/"

大家看到以后千万别点，会产生灾难性后果。这个具有穿透性传染力的病毒可以抵御还原卡和还原软件的防护。

Worm.Logo.b病毒

“logo”蠕虫病毒,该病毒通过IPC共享进行传播，会感染系统中的可执行文件。病毒还会从网上下载木马，从而窃取感染机器上的敏感信息。

此木马可以在局域网中传播，能穿透冰点、还原精灵的等还原软件。自动在QQ上发传播，而且病毒针对全盘，用Ghost恢复C盘是没用！

2006-6-1 21:25:24 Encountered and terminated CoolWWWSearch.Oslogo in C:bootconf.exe!

2006-6-1 21:25:30 已拒绝 value "load" (new data: "C:WINDOWSrundl132.exe") 已修改 in NT startup!

2006-6-1 21:25:55 已拒绝 value "shoket" (new data: "C:WINDOWSsystem32SHELLEXTsvchs0t.exe") 已添加 in System Startup global entry!

2006-6-1 21:25:58 已拒绝 value "jiahus" (new data: "C:WINDOWSsystem32svchqs.exe") 已添加 in System Startup global entry!

2006-6-2 11:18:36 已拒绝 value "UserInit" (new data: "C:WINDOWSsystem32userinit.exe") 已修改 in Winlogon!

2006-6-2 11:18:53 已拒绝 value "UserInit" (new data: "C:WINDOWSsystem32userinit.exe") 已修改 in Winlogon!

珊瑚虫论坛中monfan的spybotlog记录

主要症状：

1、占用大量网速，使机器使用变得极慢。

2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。

3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。

4、网吧中只感梁win2k pro版，server版及XP系统都不感染。

5、能绕过所有的还原软件。

详细技术信息：

1、病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。

2、%WinDir%virDll.dll：该蠕虫会在系统注册表中生成如下键值：

[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]

"auto" = "1"

3、盗取密码

病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。

4、阻止以下杀毒软件的运行

病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基、金山公司的毒霸瑞星等 98%的杀毒软件运行。

国产软件在中毒后都被病毒杀死，是病毒杀掉杀毒软件。如金山，瑞星等。有些软件可以认出病毒，但是认出后不久就阵亡了。

通过写入文本信息改变"%System%driversetchosts" 文件.这就意味着，当受感染的计算机浏览许多站点时(包括众多反病毒站点)，浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。

该蠕虫是一个大小为82K的Windows PE可执行文件。

5、通过本地网络传播

该蠕虫会将自己复制到下面网络资源：

ADMIN$

IPC$

症状

蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件：

Program Files

Common Files

ComPlus Applications

Documents and Settings

NetMeeting

Outlook Express

Recycled

system

System Volume Information

system32

windows

Windows Media Player

Windows NT

WindowsUpdate

winnt

蠕虫会从内存中删除下面列出的进程：

EGHOST.EXE

IPARMOR.EXE

KAVPFW.EXE

KWatchUI.EXE

MAILMON.EXE

Ravmon.exe

ZoneAlarm