LOGOGO

威脅情況

傳播級別:高
全球化傳播態勢：低
清除難度：困難
破壞力：高
破壞手段：感染EXE檔案
這是一個感染型病毒
病毒運行後,先通過GetCommandLine判斷是否有參數存在,如果沒有,病毒則默認以參數"_sys"利用CreateProcessA進行啟動.當病毒以"_sys"啟動後,會先自身複製到"%SYSTEMROOT%"\SYSTEM目錄中,並改名為logogo.exe.病毒會修改註冊表, 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項下建立一個 "logogo" = %WINDOWS%\SYSTEM\LOGOGOGO.EXE的子鍵達到自啟動的目的.病毒會使用SetTimer設定一個回調函式,該函式的作用就是每 1分鐘分別以"down","worm"做為參數,啟動病毒,進行感染和下載的操作.病毒還會創建一個執行緒,執行緒的作用包括往註冊表內寫RUN項,獲得當前機器名,MAC地址等,但作用未知,也許是作者留著以後備用的.病毒還會在修改註冊表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution里的所有子項里添加Debugger項,指向病毒本身.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options0rpt.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options0safe.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options0tray.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmor.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvmonxp.kxp\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvsrvxp.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kregex.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FrameworkService.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vpc32.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.exe\
病毒會在上述鍵值內,加入 Debugger = "C:\winnt\system\logogo.exe 子鍵和鍵值.被修改後,如果運行上述程式,剛被直接指向到C:\winnt\system\logogo.exe這個病毒上面
當病毒以worm參數進行啟動時,病毒的工作為感染全盤後綴為exe的檔案,並在所有FIX_DISK盤符內寫入autorun.inf和病毒本身(病毒被改名來XP.exe).其中autorun.inf的內容為:
[AutoRun]
OPEN=XP.EXE
ShellExecute=XP.EXE
shell\打開(&O)\command=XP.EXE
病毒在感染檔案時,會遍歷該檔案的節名,當發現節名中存在"ani"時,就會跳過該檔案,繼續感染下一個.
當病毒以down參數進行啟動時.病毒會先利用InternetGetConnectedState檢測網路狀態,再利用 InternetReadFile從網址http://x.XXXX.com/test.jpg下載病毒,並保存在C:\WINNT\system\ SYSTEM128.VXD位置上,並使用Winexec運行該病毒.
半手工清除logogog造成的1_.ii病毒的方法
CHN_HACKER原創
1_.ii是一個威力中等的病毒，其發作特徵為：
1.打開執行檔exe後，發現多了一個1_.ii，這就是病毒的副本；
2.裝了實時監控的防毒軟體後，可能所有exe檔案會打不開，同時提示：“windows無法打開此項目，您可能沒有合適的許可權訪問該項目。”這是因為打開exe執行檔後，病毒會自動創建副本，被防毒軟體截獲後，不允許用戶打開。
這種病毒清除起來有些麻煩，如果用防毒軟體是行不通的。如果用瑞星，會每殺到一個執行檔都會提示有病毒，而且防毒軟體本身也會染毒，並且無法清除。即使殺完一遍，也無濟於事。如果用卡巴斯基，會把染毒檔案一起刪除，你的損失無法估量。該怎樣清除呢？下面我來一步步介紹。
1.在開始——運行中輸入MSCONFIG,打開系統配置實用程式，在“一般”頁中選擇“診斷啟動”；選擇“啟動”頁，把相應的啟動項的勾去掉。這種病毒一般是由於惡意軟體logogo造成的，把相應的logogo前的勾去掉，重啟。
2.在我的網盤http://chn-hacker.ys168.com/下載專殺工具，重啟。
3.開機時按F8，進入安全模式。按ctrl+alt+del組合鍵，彈出任務管理器，在“進程”頁中找到logogo.exe和cmd.exe,結束進程。（如沒有logogo，可以不理會）
4.在安全模式下運行專殺工具。這裡要注意，由於病毒本身有問題，導致部分exe執行檔被感染後無法修復，只能重新安裝。
5.防毒結束後，請用360安全衛士等工具查殺木馬。可能360也會被感染，所以最好重裝防毒軟體和已經損壞的程式。
6.在開始——運行中輸入regsvr32 vbscript.dll修復受損的IE。