热点科技

标题: [分享] 很厉害的病毒，大家小心！ [打印本页]

作者: radopan 时间: 2006-6-5 21:11
标题: [分享] 很厉害的病毒，大家小心！
很厉害的病毒，大家小心！
今天我已经遇到了许多Q群中蔓延着以下信息,
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !http://www**********client-entry.
photo.39pic.#￥％………………86%8C2/"
大家看到以后千万别点,会产生灾难性后果,值得注意的是,这个具有穿透性传染力的病毒可以抵御还原卡和还原软件的防护.Worm.Logo.b病毒
“logo”蠕虫病毒,该病毒通过IPC共享进行传播,会感染系统中的可执行文件.病毒还会从网上下载木马,从而窃取感染机器上的敏感信息.
此木马可以在局域网中传播,能穿透冰点还原精灵的等还原软件.自动在QQ上发传播.而且病毒针对全盘,用Ghost恢复C盘是没用的.

2006-6-1 21:25:24 Encountered and terminated CoolWWWSearch.Oslogo in C:bootconf.exe!
2006-6-1 21:25:30 已拒绝 value "load" (new data: "C:WINDOWSrundl132.exe") 已修改 in NT startup!
2006-6-1 21:25:55 已拒绝 value "shoket" (new data: "C:WINDOWSsystem32SHELLEXTsvchs0t.exe") 已添加 in System Startup global entry!
2006-6-1 21:25:58 已拒绝 value "jiahus" (new data: "C:WINDOWSsystem32svchqs.exe") 已添加 in System Startup global entry!
2006-6-2 11:18:36 已拒绝 value "UserInit" (new data: "C:WINDOWSsystem32userinit.exe") 已修改 in Winlogon!
2006-6-2 11:18:53 已拒绝 value "UserInit" (new data: "C:WINDOWSsystem32userinit.exe") 已修改 in Winlogon!

珊瑚虫论坛中monfan的spybotlog记录.

主要症状:
1、占用大量网速,使机器使用变得极慢.
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标.
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出.
4、网吧中只感梁win2k pro版,server版及XP系统都不感染.
5、能绕过所有的还原软件.

详细技术信息:

病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件.

%WinDir%virDll.dll
该蠕虫会在系统注册表中生成如下键值:

[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]
"auto" = "1"

　盗取密码

　　病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中.
　　
阻止以下杀毒软件的运行
　　病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程. 包括卡八斯基,金山公司的毒霸.瑞星等.98%的杀毒软件运行.
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件.如金山,瑞星等.哪些软件可以认出病毒.但是认出后不久就阵亡了.

通过写入文本信息改变"%System%driversetchosts" 文件.这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149.

病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播.一旦安装,蠕虫将会感染受感染计算机中的.exe文件.

该蠕虫是一个大小为82K的Windows PE可执行文件.

通过本地网络传播

该蠕虫会将自己复制到下面网络资源:

ADMIN$
IPC$

症状

蠕虫会感染所有.exe的文件.但是,它不会感染路径中包含下列字符串的文件:

Program Files

Common Files

ComPlus Applications

Documents and Settings

NetMeeting

Outlook Express

Recycled

system

System Volume Information

system32

windows

Windows Media Player

Windows NT

WindowsUpdate

winnt
蠕虫会从内存中删除下面列出的进程:

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm

作者: sgminsy 时间: 2006-6-5 21:25
5555555555~~我在61的时候就感染了~~~~
http://bbs2.winzheng.com/viewthr ... ;extra=#pid16223605

http://bbs2.winzheng.com/viewthr ... ;highlight=%2Bxplhx

作者: Guochen 时间: 2006-6-5 23:05
哦,谢谢提醒

小心了

作者: 13722572297 时间: 2006-6-5 23:07
早两天已经接到线报，很多网吧都瘫了，连镜像文件都未能避免。

作者: dang2002net 时间: 2006-6-5 23:23
我的公司网络现在全中了,晕呀,一个星期了还没完全搞定

作者: wfssj 时间: 2006-6-6 00:58
还好我不怎么用QQ啊，哈哈

作者: aeioui 时间: 2006-6-6 01:58
是吗。谢了。我弄个群试试

作者: aidszk 时间: 2006-6-6 03:01
这个一定不能点阿

感谢提醒

作者: mw545 时间: 2006-6-6 09:55
嘿嘿！我前期碰到好多次了！
但我就是没敢点！现在想起来，呵呵！幸好没点！
要不就完了！感谢楼主了！

作者: jerrylujiaquan 时间: 2006-6-6 10:29
偶很少上QQ,没遇过

作者: ni3dmark05 时间: 2006-6-6 10:40
哦,谢谢提醒

作者: nqmh 时间: 2006-6-6 10:51
谢谢了，知道了。小心ing

作者: warmcurrent 时间: 2006-6-6 10:54
偶很少上QQ,没遇过

作者: mrzhuang 时间: 2006-6-6 10:55
最近在上QQ,有碰到许多朋友发这个链接....

看前面是QQ.com 后面却不是,我就发现一定是病毒拉.

作者: gesila 时间: 2006-6-8 07:56
已经加强防备了！！！

作者: piscesab 时间: 2006-6-8 09:10
这个可能是变种的,才那么厉害.

作者: lxy7185009 时间: 2006-6-8 09:18
谢谢提醒

作者: louancao 时间: 2006-6-8 09:43
请教此病毒如何穿透还原的，难道通过破坏镜像文件？

作者: huizhunan 时间: 2006-6-8 09:46
这个最近传得很厉害啊～
每天上Q几乎都收到～
要多加小心啊

作者: wenbiao 时间: 2006-6-8 09:53
谢谢，注意了

作者: tmzdxz 时间: 2006-6-8 10:06

原帖由 鼠标他爹 于 2006-6-5 23:23 发表
我的公司网络现在全中了,晕呀,一个星期了还没完全搞定

我单位也是

作者: kgcjxjhc 时间: 2006-6-8 12:09
不会这么可怕吧，什么杀毒软件能防备呢？

作者: pop2868 时间: 2006-6-8 15:05
谢谢楼主
以后注意点

作者: 471321587 时间: 2006-6-8 15:32
谢谢提醒～～

作者: qqxxyyqq 时间: 2006-6-8 16:09
很可怕的样子，小心。。。。。。。。。。。。

作者: hsdyh520123 时间: 2006-6-8 16:16
如果中了毒怎么办，我是网管员，上网的人是不管你的。最后几天机房很不稳定，经常断线。我也怀疑是中了楼主说的东西。但我们用的趋势杀毒只能查，杀不了。还好，硬件保护卡还能挡一阵。可是经常的重启，甚至连客房机的服务器端也是如此。真头痛。

作者: simmis 时间: 2006-6-8 16:19
谢谢提醒了，中标了我的机子就要崩溃了~~

作者: slip 时间: 2006-6-8 16:25
不知道有没有比较完美的解决方法

作者: ZA321 时间: 2006-6-8 16:34
谢谢楼主提醒，要小心了

作者: 5311242 时间: 2006-6-8 16:41
谢谢楼住提醒啊！

作者: poupart 时间: 2006-6-8 16:46
还好我没中招，原因是我从来不点不熟的网址！

作者: tonychs 时间: 2006-6-8 16:48
这个我也看到过了!

作者: longbrasil 时间: 2006-6-8 16:54
谢谢提醒。好厉害的病毒。。。

作者: lipeilin103 时间: 2006-6-8 19:16
感谢楼主了！

作者: brit78 时间: 2006-6-8 19:23
谢谢
加强注意了

作者: xzy918 时间: 2006-6-8 19:54
现在对卡巴有点不相信的说

作者: hmqs 时间: 2006-6-8 19:56
上报了没有？

作者: 3011039 时间: 2006-6-8 19:56

原帖由 错过一次 于 2006-6-8 19:54 发表
现在对卡巴有点不相信的说

MM喜欢咖啡不？

作者: zhouyangnzs 时间: 2006-6-8 19:58
有人发过,不过不会去点的

作者: qqzaqdxad 时间: 2006-6-8 21:01
我也有遇到，还好我好奇心没那么重，没点。
谢谢提醒

作者: leang2 时间: 2006-6-8 21:10
加强防范为主。

作者: woftl 时间: 2006-6-8 23:20
只对2K　Pro啊！难怪我们学校的网络没中。

作者: zhengxi369 时间: 2006-6-8 23:32
我点了.但是没有发现什么异常.

欢迎光临热点科技 (http://www.itheat.com/activity/)