logogogo最新变种XP.exe的分析(Win32.Logogo)

 

作者:清新阳光                                                            ( [url]http://hi.baidu.com/newcenturysun[/url])
日期:2007/11/17                                                         (转载请保留此声明)

这是之前logogo. exe病毒的最新变种,此次变种可谓是该系列病毒的一个标志性的变种,如同原先的crsss化身成为“禽兽”病毒一样...

技术细节:
File: logogogo.exe
Size: 17196 bytes
Modified: 2007年11月17日, 10:06:48
MD5: CBD42479BD49AEB0E839B3D4F116516B
SHA1: F1DC3254693CC11C70BCDCB2EC124BD82E550AC5
CRC32: 9510B8CC
加壳方式:Upack 0.3.9
AV命名:Win32.Logogo.a(瑞星)

1.病毒有两个参数启动自身
-down 和-worm分别执行的是下载和感染操作

2.衍生如下副本:
%systemroot%\system\logogogo.exe
在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的

3.创建注册表启动项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<logogogo><%systemroot%\system\logogogo.exe> []
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。

4.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身。
360rpt.exe
360Safe.exe
360tray.exe
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EGHOST.EXE
ESAFE.EXE
EXPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FESCUE.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
Iparmor.exe
JEDI.EXE
KAV32.exe
KAVPFW.EXE
KAVsvc.exe
KAVSvcUI.exe
KVFW.EXE
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
KVwsc.exe
KvXP.kxp
KWatchUI.EXE
LOCKDOWN2000.EXE
Logo1_.exe
Logo_1.exe
LOOKOUT.EXE
LUALL.EXE
MAILMON.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
Navapsvc.exe
Navapw32.exe
NAVLU32.EXE
NAVNT.EXE
navw32.EXE
NAVWNT.EXE
NISUM.EXE
NMain.exe
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
PFW.EXE
Rav.exe
RAV7.EXE
RAV7WIN.EXE
RAVmon.exe
RAVmonD.exe
RAVtimer.exe
Rising.exe
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
THGUARD.EXE
TrojanHunter.exe
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
修复工具.exe

5.感染除如下文件夹内的*.exe文件
windows
winnt
recycler
system volume information

并不感染如下exe文件
XP.EXE
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe
zhengtu.exe
nettools.exe
laizi.exe
proxy.exe
Launcher.exe
WoW.exe
Repair.exe
BackgroundDownloader.exe
o2_unins_web.exe
O2Jam.exe
O2JamPatchClient.exe
O2ManiaDriverSelect.exe
OTwo.exe
sTwo.exe
GAME2.EXE
GAME3.EXE
Game4.exe
game.exe
hypwise.exe
Roadrash.exe
O2Mania.exe
Lobby_Setup.exe
CoralQQ.exe
QQ.exe
QQexternal.exe
BugReport.exe
tm.exe
ra2.exe
ra3.exe
ra4.exe
ra21006ch.exe
dzh.exe
Findbug.EXE
fb3.exe
Meteor.exe
mir.exe
KartRider.exe
NMService.exe
AdBalloonExt.exe
ztconfig.exe
patchupdate.exe

被感染文件尾部被加入一个名为.ani的节。被感染文件运行后会释放一个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exe

6.连接 网络下载 木马
读取[url]http://dow.[/url]*.us/xxx.txt的下载列表
然后下载
[url]http://dow.[/url]*.com/1.exe~[url]http://dow.[/url]*.com/20.exe到%systemroot%\system下面
并以SYSTEM128.tmp作为下载文件过程中的临时文件

7.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息

8.病毒体内留有作者留下的广告信息:“出售下载者 QQ 2892*”

Snap1.jpg (7.22 KB)
2007-11-17 16:33

病毒木马植入完毕后的sreng日志如下:

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kvdxsima.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><%systemroot%\system32\rsmyhpm.dll> []
    <{A2AC7E3B-30BE-466f-8BAB-1FF9DADD8C7D}><%systemroot%\system32\KVBatch01.dll> []
    <{5A321487-4977-D98A-C8D5-6488257545A5}><%systemroot%\system32\kapjezy.dll> []
    <{5A1247C1-53DA-FF43-ABD3-345F323A48D5}><%systemroot%\system32\avwgemn.dll> []
    <{6859245F-345D-BC13-AC4F-145D47DA34F6}><%systemroot%\system32\avzxfmn.dll> []
    <{4960356A-458E-DE24-BD50-268F589A56A4}><%systemroot%\system32\avwldmn.dll> []
    <{5598FF45-DA60-F48A-BC43-10AC47853D55}><%systemroot%\system32\rarjepi.dll> []
    <{A6650011-3344-6688-4899-345FABCD156A}><%systemroot%\system32\ratbjpi.dll> []
    <{38907901-1416-3389-9981-372178569983}><%systemroot%\system32\kawdczy.dll> []
    <{9D561258-45F3-A451-F908-A258458226D9}><%systemroot%\system32\kvdxsima.dll> []
    <{44783410-4F90-34A0-7820-3230ACD05F44}><%systemroot%\system32\raqjdpi.dll> []
    <{97D81718-1314-5200-2597-587901018079}><%systemroot%\system32\kaqhizy.dll> []
    <{38847374-8323-FADC-B443-4732ABCD3783}><%systemroot%\system32\sidjczy.dll> []
    <{8D47B341-43DF-4563-753F-345FFA3157D8}><%systemroot%\system32\kvmxhma.dll> []
    <{24909874-8982-F344-A322-7898787FA742}><%systemroot%\system32\swjqbzc.dll> []
    <{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}><%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    <IFEO[360rpt.exe]><%systemroot%\system\logogogo.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
    <IFEO[360Safe.exe]><%systemroot%\system\logogogo.exe> []...

==================================
正在运行的进程
[PID: 1724][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [%systemroot%\system32\rsmyhpm.dll] [N/A, ]
    [%systemroot%\system32\KVBatch01.dll] [N/A, ]
    [%systemroot%\system32\kapjezy.dll] [N/A, ]
    [%systemroot%\system32\avwgemn.dll] [N/A, ]
    [%systemroot%\system32\avzxfmn.dll] [N/A, ]
    [%systemroot%\system32\avwldmn.dll] [N/A, ]
    [%systemroot%\system32\rarjepi.dll] [N/A, ]
    [%systemroot%\system32\ratbjpi.dll] [N/A, ]
    [%systemroot%\system32\kawdczy.dll] [N/A, ]
    [%systemroot%\system32\kvdxsima.dll] [N/A, ]
    [%systemroot%\system32\raqjdpi.dll] [N/A, ]
    [%systemroot%\system32\kaqhizy.dll] [N/A, ]
    [%systemroot%\system32\sidjczy.dll] [N/A, ]
    [%systemroot%\system32\kvmxhma.dll] [N/A, ]
    [%systemroot%\system32\swjqbzc.dll] [N/A, ]
    [%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
    %systemroot%\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    %systemroot%\system32\qdshm.dll(, N/A)
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE
[D:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE...

解决办法:
下载sreng:
[url]http://download.kztechs.com/files/sreng2.zip[/url]
Xdelbox: [url]http://www.dodudou.com/down/[/url] 里面的原创软件文件夹下

首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
分别解压Xdelbox和sreng
(注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)

1.打开sreng

启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []

并删除所有红色的IFEO项目

修复-系统修复-重置winsock

2.解压Xdelbox所有文件到一个文件夹

在 添加旁边的框中 分别输入
%systemroot%\system32\rsmyhpm.dll
%systemroot%\system32\KVBatch01.dll
%systemroot%\system32\kapjezy.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avzxfmn.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\rarjepi.dll
%systemroot%\system32\ratbjpi.dll
%systemroot%\system32\kawdczy.dll
%systemroot%\system32\kvdxsima.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\kaqhizy.dll
%systemroot%\system32\sidjczy.dll
%systemroot%\system32\kvmxhma.dll
%systemroot%\system32\swjqbzc.dll
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除

3.重启计算机后

双击我的 电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
在左边的资源管理器中单击打开系统所在盘
删除%systemroot%\system\logogogo.exe
%systemroot%\system32\qdshm.dll

在左边的资源管理器中单击打开每个盘
删除各个盘根目录下的XP.exe和autorun.inf

4.打开sreng

启动项目 注册表
双击AppInit_DLLs把其键值清空

5.使用杀毒软件全盘杀毒修复被感染的exe文件(如果杀毒软件也被感染,请重装杀毒软件以免造成反复感染)

你可能感兴趣的:(职场,休闲,logogogo,Win32.Logogo)