症状总结1 :
一.该病毒的特点:
病毒类型:蠕虫影响系统: Win 9x/ME、Win 2000/NT、Win XP、Win 2003
病毒行为:
该病毒猈indows平台下集成了可执行文件感染、网络感染、网络木马或其他下载病毒的复合型病毒。 病毒运行后,将自身伪装成系统中已知良好的文件,迷惑用户。 允许通过修改注册表项在病毒启动时自动运行。 此外,病毒还通过线程注入技术绕过防火墙监控,连接到病毒作者指定的网站下载特定木马或其他病毒,病毒运行后列举内网所有可用共享,使用弱密码感染目标
运行过程中会感染用户计算机上的可执行文件,导致用户计算机运行速度变慢,破坏用户计算机的可执行文件,危害用户安全。
病毒主要通过共享目录、捆绑文件、运行受感染病毒的程序、可以附加病毒的邮件附件等方式传播。
1、病毒运行后,将自身复制到Windows文件夹下。 文件名为:
%SystemRoot%/rundl132.exe
2、运行受感染文件后,病毒将整个病毒复制到以下文件:中
%SystemRoot%/logo_1.exe
3、同时病毒在病毒文件夹下生成:
病毒目录/vdll.dll
4、病毒从z驱动器向前搜索所有可用分区中的exe文件,然后感染所有大小的27kb-10mb可执行文件,并在受感染的文件夹中生成:
_desktop.ini (文件属性:系统,隐藏。 )
5、病毒尝试修改% sysroot %/system32/drivers/etc/hosts文件。
6、病毒通过添加以下注册表项,开启病毒并自动执行:
[ HKEY _ local _ machine/software/Microsoft/windows/current version/run ]
' load '=' c ://win nt//rundl 132.exe '
[ HKEY _ current _ user/software/Microsoft/windows nt/current version/windows ]
' load '=' c ://win nt//rundl 132.exe '
7、运行病毒时尝试查找表单名称为:'RavMonClass '的程序,找到表单后发送信息关闭程序。
8、列举以下杀毒软件进程名称,找到后终止该进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令中止相关杀毒软件:
net stop ' kingsoftantivirusservice '
10、发送ICMP探测数据“Hello,World”,判断网络状态,如果网络可用,
列出内部网的所有共享主机,并尝试使用弱密码连接到共享目录,如//IPC$、/admin$等,如果连接成功,则会感染网络。
11、感染用户机器的exe文件,但不感染以下文件夹的文件:
系统
system32
windows
文档和设置
系统卷信息
已接收
维尼特
程序文件
Windows NT
windows更新
windows媒体播放器
Outlook Express
internet资源管理器
计算机应用程序
NetMeeting
公共文件
消息传感器
微软办公
安装shieldinstallationinformation
MSN
微软前端页面
移动标记器
MSN Gaming Zone
12、列举系统进程,尝试选择性地将病毒dll(vdll.dll )注入到与以下进程名对应的进程:中
资源管理器
Iexplore
找到符合条件的流程后,随机注入上述两个流程之一。
13、如果外部网可用,被注入的dll文件连接到以下的网站上试图下载并执行相关程序:
http://www.17**.com/gua/zt.txt被存储为:c:/1.txt
http://www.17**.com/gua/wow.txt存储为:c:/1.txt
http://www.17**.com/gua/mx.txt被存储为:c:/1.txt
http://www.17**.com/gua/zt.exe另存为:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe保存为:%SystemRoot%/1Sy.exe
http://www.17**.com/gua/mx.exe被存储为:%SystemRo
ot%/2Sy.exe注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Soft/DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows]
"ver_down0"="[boot loader]+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)//WINDOWS=/"Microsoft Windows XP Professional/" "
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)//WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)//WINDOWS=/"Microsoft Windows XP Professional/" /"
症状总结2:
1.感染所有的EXE文件
2.W32.Looked.I 蠕虫,执行后会在系统生成:%Windir%
undl132.exe, %CurrentFolder%vDll.dll 等病毒文件; 并在注册表添加系统服务随系统启动,试图终止安全相关的程序,终止系统重要进程,注入自身到DLL组件,vdll.dll到iexplore.exe,explore.exe,全盘搜索.exe文件,并注入自身到这些文件,无法清除, 使系统文件全部都染病毒
3.中止大部分的杀毒软件进程,诺顿可以隔离。但是结果是EXE文件全部执行不了
4.在共享的打印机上不停的打印,内容为当天日期
5.在C:/winnt 或是 windows生成Logo1_.exe , rundl132.exe,bootconf.exe几个文件,感染应用程序的速度非常快,只要你一用到某个应用程序,马上就会被感染,并且Logo1_.exe 会变成此应用程序的图标.
6.在局域网内部中传播相当快,能通过信使传播,但已禁用信使的电脑也能被感染,不知道它有多少传播途径.
7.被感染的机子很难清除干净,在某些电脑上的每一个文件夹还会有一个 _desktop 的记事本文件,内容为当前日期
解决方法:
1. 打补丁:
详细地址如下:http://www.microsoft.com/china/technet/ ··· 043.mspx
知识库如下:http://support.microsoft.com/kb/896423
2. 下载瑞星http://it.rising.com.cn/service/technol ··· g.htm%2F金山专杀工具杀或者是ewido anti-spyware
3.在windows目录下或者是winnt目录下,进入安全模式下删除 logo_.exe,rundl132.dll,vdll.dll(dll.dll)
另请用户将电脑上的共享文件停止。此病毒应该有共享文件传播,将打印机上的everyone用户访问取消.,看到有说在原来的目录下建立一个相同的空的只读文件logo_.exe,rundl132.dll,vdll.dll(dll.dll) 来解决病毒寻找链接的错误提示.
如果出现应用程序使用错误,重新安装下应用程序,或者是把其他人机器中的程序的执行文件拷过去覆盖安装.
4.删除_desktop.ini,采用批处理删除命令 del C:/_desktop.ini /f/s/q/a,该命令的作用是:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除
使用方法是开始--所有程序--附件--命令提示符,键入上述命令(也可复制粘贴),依次删除各个盘符中的_desktop.ini。
也可以写个批处理来删除(如在winnt下)
@echo 删除病毒文件
@echo off
if exist c:/winnt/logo_1.exe attrib -s -r -h c:/winnt/logo_1.exe
del c:/winnt/logo_1.exe
if exist c:/winnt/rundl132.exe attrib -s -r -h c:/winnt/rundl132.exe
del c:/winnt/rundl132.exe
del c:/vdll.dll /f/s/q/a
del c:/dll.dll /f/s/q/a
del d:/_desktop.ini /f/s/q/a
del c:/_desktop.ini /f/s/q/a
del e:/_desktop.ini /f/s/q/a
del f:/_desktop.ini /f/s/q/a
exit
<script type="text/javascript"></script> <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script>