基本介紹
- 中文名:Worm.Logo.g
- 威脅級別 : ★★
- 病毒類型 : 蠕蟲
- 影響系統 : Win9x / WinNT
病毒信息,病毒行為,
病毒信息
這是一個感染型蠕蟲病毒。該病毒關閉一些防毒軟體和防火牆。然後掃描磁碟檔案並感染執行檔,造成硬碟指示燈狂閃,機子速度變慢的現象,由於頻繁讀寫檔案會使硬碟壽命減少。除此之外,該病毒從網上下載另一病毒,win32.Troj.Delf.fn.149836木馬,該木馬盜取各種密碼,並打開後門,供別人盜取檔案。該病毒通過弱口令進行傳播,建議用戶將計算機密碼設長一點、複雜一點。
病毒行為
1,釋放檔案:
%SystemRoot%\Logo1_.exe。
%病毒目錄%\virDll.dll,並注入explorer.exe進程。
2,下載木馬
virDll.dll下載http://*********.net/**/1.exe(win32.Troj.Delf.fn.149836)到當前目錄並執行。
3,感染檔案
感染大小小於10M的*.exe執行檔。
被感染檔案執行後,在%Temp%生成bat檔案和tmp檔案(如$$a3.bat和$$a3.tmp),執行bat檔案刪除病毒自己,還原執行檔。
4,不感染的資料夾:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
\Program Files\
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
5,添加註冊表
HKLM\Software\soft\DownloadWWW\
"auto"="1" (VirDll.dll釋放注入標誌)
6,關閉下列進程
RavMon.exe
天網防火牆個人版
天網防火牆企業版
噬菌體
TfLockDownMain(窗體類名)
ZoneAlarm
eghost.exe
mailmon.exe
KAVPFW.EXE
KWatchUI.exe
IPARMOR.EXE
7,卸載軟體
密碼防盜專家
8,關閉服務
Kingsoft Antivirus Service
9,傳播方式
ipc$,admin$共享服務,弱口令連線傳播病毒。