病毒描述
病毒運行後複製自身到系統目錄,在註冊表內添加啟動項。複製自身到各個盤符下,並生成autorun.inf,達到隨隨身碟傳
播的目的。感染非系統盤的exe 檔案,由於感染後無明顯症狀,超級巡警團隊提醒廣大網際網路用戶注意計算機安全。
中毒症狀
在系統資料夾C:\windows\system 下自動生成logogo.exe檔案,還有可能會在C:\windows\system32 下生成1.exe、2.exe 以及mxdman.dll、inudhya.dll 等。此外,還會在硬碟的每個分區的根目錄下生成setup.exe 和autorun.inf兩個檔案。刪除之後又會重新出現。
病毒標籤
病毒名稱:Trojan-Downloader.Win32.Agent.dex
病毒大小:13,658 (位元組)
SHA1 :928c4164a8c48801d4583d143822612d69db2ff9
加殼類型:Upack 0.3.9 beta2s
病毒行為
1、病毒運行後會生成以下檔案:
%windir%\system\logogo.exe
%windir%\system\SYSTEM64.vxd
2、在註冊表內寫入啟動項:
鍵路徑:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
鍵名:logogo
鍵值:%windir%\system\logogo.exe
3、複製自身到磁碟根目錄下重名為setup.exe,並生成autorun.inf檔案,感染隨身碟等移動設備。
4、感染非系統盤的exe檔案。在非系統盤的exe檔案內添加一個.lea為名的節,將病毒體寫入,感染後除檔案體積變大
外並無其他明顯症狀。不感染以下檔案名稱的檔案:
CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe
zhengtu.exenettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe Repair.exe
BackgroundDownloader.exeo2_unins_web.exe O2Jam.exe O2JamPatchClient.exe O2ManiaDriverSelect.exe
OTwo.exe sTwo.exeGAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe
Lobby_Setup.exeCoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe ra2.exe ra3.exe ra4.exe
ra21006ch.exedzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe KartRider.exe NMService.exe
AdBalloonExt.exeztconfig.exe patchupdate.exe
5、連線http://web.858656.com/103/tj.htm統計受害者數量。
6、下載大量網遊木馬並運行,生成的檔案名稱為kvmxcma.dll、kvmxcis.exe、rsmyapm.dll、rsmyasp.exe、rsztapm.dll
rsztasp.exe 、ravdhmon.exe等。以下為下載地址:
http://61.129.115.205/xxx.jpg
http://61.129.115.205/moyu.exe
http://61.129.115.205/zhengtu.exe
http://61.129.115.205/dahua.exe
http://61.129.115.205/menghuan1.exe
http://61.129.115.205/huaxia.exe
http://61.129.115.205/wanmei.exe
http://61.129.115.205/qiji.exe
http://61.129.115.205/zhuxian.exe
http://61.129.115.205/menghuan.exe
解決方案
1、殺死病毒進程。打開超級巡警,選擇進程管理功能,結束logogo.exe進程。
2、刪除病毒檔案。刪除磁碟根目錄下的autorun.inf、setup.exe和以下檔案:
%windir%\system\logogo.exe
%windir%\system\SYSTEM64.vxd
3、刪除註冊表內的啟動項。
鍵路徑:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
鍵名:logogo
鍵值:%windir%\system\logogo.exe
4、修復被感染的exe檔案。
5、清除其他下載的木馬。