Logo1_.exe¸Ñ¬rªk
¹q¸£¤¤¤F¯f¬r,Á`¬O±Ò°Ê¤@ÓLogo1_.exeªº¶iµ{¡A¨Ã·P¬V¤j¶q.exe¤å¥ó¡C¹Ï¥Ü³£§ï¤F¥¦¬O¤@Ó¦ÇÂF¤l¯f¬r¡A¦p·P¬V©M§A»¡±¡ªp°ò¥»¤@¼Ë¡A·|¦Û°ÊÃö³¬¬r³nÅé¡A®¹¸j©Ò¦³¹B¦æ¹Lªº.exe¤å¥ó¡A¦¹¯f¬r·P¬V«á§Y¨Ï±þ¹L«á¨t²Î¤]·|Åܱo«Ü¤£Ã©w
°ò¥»¤¶²Ð
¯f¬r¦WºÙ Worm@W32.Looked
¯f¬r§O¦W Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a
¯f¬r«¬ºA Worm (ºô¸ôįÂÎ)
¯f¬rµo²{¤é´Á 2004/12/20
¼vÅT¥»O Windows 95/98/ME , Windows NT/2000/XP/2003 ·ÀIµû¦ô
´²¼½µ{«×¡G¤¤
¯}Ãaµ{«×¡G¤¤
¥Dn¯gª¬:
1¡B¦û¥Î¤j¶qºô³t¡A¨Ï¾÷¾¹¨Ï¥ÎÅܱo·¥ºC¡C
2¡B·|®¹¸j©Ò¦³ªºEXEÀÉ¡A¥un¤@¹B¥ÎÀ³¥Îµ{¦¡¡A¦bwinnt¤Uªºlogo1.exe¹Ï¥Ü´N·|¬ÛÀ³Åܦ¨À³¥Îµ{¦¡¹Ï¥Ü¡C
3¡B¦³®ÉÁÙ·|®É¦Ó¤£®É¦a¼u¥X¤@¨Çµ{¦¡®Ø¡A¦³®ÉÔÀ³¥Îµ{¦¡¤@°_°Ê´N¥X¿ù¡A¦³®ÉÔ°_°Ê¤F´N³Q±j¦æ°h¥X¡C
4¡Bºô©@¤¤¥u·P±çwin2k proª©¡Aserverª©¤ÎXP¨t²Î³£¤£·P¬V¡C
5¡B¯à¶¹L©Ò¦³ªºÁÙì³nÅé ¸Ô²Ó§Þ³N¸ê°T¡G
¯f¬r¹B¦æ«á¡A¦b%Windir%¥Í¦¨ Logo1_.exe ¦P®É·|¦bwindws®Ú¥Ø¿ý¥Í¦¨¤@Ó¦W¬° %WinDir%\virDll.dll
¸ÓįÂη|¦b¨t²Îµù¥Uªí¤¤¥Í¦¨¦p¤UÁäÈ¡G
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]µs¨ú±K½X ¯f¬r¸Õ¹Ïµn³°¨Ãµs¨ú³Q·P¬V¹q¸£¤¤ºô¸ô¹CÀ¸¶Ç©_2ªº±K½X¡A±N¹CÀ¸±K½Xµo°e¨ì¸Ó¤ì°¨¯f¬rªº´Ó¤JªÌ¤â¤¤¡C
¡@¡@
ªý¤î¥H¤U±þ¬r³nÅ骺¹B¦æ
¡@¡@¯f¬r¸Õ¹Ï²×¤î¥]§t¤U¦C¶iµ{ªº¹B¦æ¡A98%ªº±þ¬r³nÅé¹B¦æ,³o¨Ç¦h¬°±þ¬r³nÅ骺¶iµ{
°ê²£³nÅé¦b¤¤¬r«á³£³Q¯f¬r±þ¦º¡A¬O¯f¬r±þ±¼-±þ¬r³nÅé¡C¦³¨Ç³nÅé¥i¥H»{¥X¯f¬r¡C¦ý¬O»{¥X«á¤£¤[´N°}¤`¤F¡C
³q¹L¼g¤J¤å¥»¸ê°T§ïÅܯf¬r·P¬V¹B¦æwindows§@·~¨t²Îªº¹q¸£¡A¨Ã¥B³q¹L¶}©ñªººô¸ô¸ê·½¶Ç¼½¡C¤@¥¹¦w¸Ë¡AįÂαN·|·P¬V¨ü·P¬V¹q¸£¤¤ªº.exe¤å¥ó ¸ÓįÂάO¤@Ó¤j¤p¬°82KªºWindows PE¥i°õ¦æÀÉ¡C
³q¹L¥»¦aºô¸ô¶Ç¼½
¸ÓįÂη|±N¦Û¤v½Æ»s¨ì¤U±ºô¸ô¸ê·½¡GADMIN$ IPC$
¯gª¬
įÂη|·P¬V©Ò¦³.exeªº¤å¥ó¡C
įÂη|±q°O¾ÐÅ餤§R°£¤U±¦C¥Xªº¶iµ{¡GEGHOST.EXE IPARMOR.EXE KAVPFW.EXE KWatchUI.EXE MAILMON.EXE Ravmon
ºô©@¾D¦¹¯f¬r¯}Ãa³y¦¨¤j±¿nªº¥d¾÷¡AÅõºÈ¡C¦M®`µ{«×¥i¥H©M¥@¬É±Æ¦W«e¤Qªº·R±¡«áªùÅܺجۤñ¡C¸Ó¯f¬r¥i¥H³q¹Lºô¸ô¶Ç¼½¡A¶Ç¼½¶g´Á¬°3¤ÀÄÁ¡C¦pªG¬O·s°µªº¨t²Î³B©ó¤¤¤F¬rªººô¸ôÀô¹Ò¤º¡A¥un¨ºÓ¾÷¾¹¤@¤Wºô¡A3¤ÀÄÁ¤º¥²©w¤¤©Û¡C¤¤©Û«á§A¦w¸Ë¡@rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe ¡@kill NAV µ¥±þ¬r³nÅé ³£µLªk¸É±Ï§Aªº¨t²Î¡A¯f¬rÀÉ Logo1_.exe ¬°¥DÅé¯f¬r¡A¥L¦Û°Ê¥Í¦¨¯f¬rµo§@©Ò»Ýnªºªº SWS32.DLL SWS.DLLL KILL.EXE µ¥¤å¥ó¡C³o¨ÇÀɤ@¦ýl¥Í¡C¥L±N¨³³t·P¬V¨t²Î¤ºEXPLORE µ¥¨t²Î®Ö¤ß¶iµ{¤Î©Ò¥H.exe ªº¥i°õ¦æÀÉ¡A¥~Æ[¨å«¬ªí²{¯gª¬¬°¶Ç©_ ¡Aªwªw°ó¡Aµ¥¹CÀ¸¹Ï¥ÜÅܦâ¡C ¦¹®É¨t²Î¸ê·½¥i¥Î²v·¥§C¡A§A¨C«·s±Ò°Ê¤@¦¸¡A¯f¬r´N·|µo§@¤@¦¸¡C
¸Ó¯f¬r¹ï©ó¨¾½d·NÃѸû®z¡AÁÙì³nÅ饼¯à¤Î®É¸Ë¨ì¦ìªººô§a¤Q¤ÀP©R¡A¨äºô¸ô¶Ç¼½³t«×¤Q¤À§Ö±¶¦³®Ä¡Cª©ªº±þ¬r³nÅéµLªkÀË´ú¡A·sª©ªºµLªk¹ý©³®Ú±þ¡C¤@¦ýºô©@¤º¬Y¥x¾÷¾¹¤¤¤F¦¹¯f¬r¡A¨º»ò¸Óºô©@©Ò¦³¥¼¤¤¬rªº¾÷¾¹³£³B©ó¦MÀIª¬ºA¡C¥Ñ©ó¯f¬rµo§@¶J¯d©ó°O¾ÐÅé¡C¥B³q¹LEXPLORE.exe ¶i¦æ¶Ç¼½¡C¦]¦¹§Y¨Ï¬O¸Ë¤FÁÙìºëÆF¡AÁÙì¥dªº¾÷¾¹¤]¦P¼Ë·|³Q·P¬V¡C§A«·s±Ò°Ê«á¨t²Î¥i¥HÁÙì¡C¦ý¬O§A¤@¦ý¶}¾÷ÁÙ¬O·|³Q·P¬V¡C
¯f¬rµo§@·|¥Í¦¨¥t¥~¯f¬r PWSteal.Lemir.Gen ©M trojan.psw.lineage µ¥µ¥¡C³£¬O¨Ç«D±`¼F®`ªº«áªùµ{¦¡¡C©M¥~±¾¯f¬r¬Û¦ü¡A¦ý¬O¨ä«Â¤O¬O¥~±¾¯f¬rªº50¿¥H¤W¡C¦bWIN98¥»O¤U¡A§ï¯f¬r«Â®`¤ñ¸û¤p¡C¦bWIN2000 /XP/2003 ¥»O¹ï©óºô©@¨t²Î¬OP©Rªº ¹B¦æ¨t²Î·¥«×¥d¾÷¡C§A«·s±Ò°Ê«á§A·|µo²{§A©Ò¦³¹CÀ¸ªº.EXE µ{¦¡¥þ³¡³£·P¬V¤F
³Ì·s±þ¬r³nÅé±þ§¹«á¡C°£¤F¨t²Î¥i¥H«j±j¹B¦æ¡C¨ä¥Lªº§A¤]§O·Q¹B¦æ¤F¡C
¯f¬r²M²z¿ìªk
¦pªG¦b¯f¬r¨S¦³µo§@±¡ªp¤U±þ¬r¬O¥i¥H§¹¥þ·d©wªº¡C¦pªGµo§@¤F¤]¤£n±þ¬r¤F¡C
¥H¤U¬O¸Ñ¬r¤èªk(§ÚªB¤Í¤¤¹L³o¬O¥L¸ò§Ú»¡ªº)
¤@¡B§ä¨ìµù¥Uªí¤¤[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]§R°£DownloadWWW¥DÁä
¤G¡B§ä¨ì
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo ¶µ
§âWINLOGO ¶µ «á±ªºC:\WINNT\SWS32.DLL §R±¼
±µ¤U¨Ó§âHKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run Á䤤 /RunOnce/RunOnceEx ¨âÓ¤¤¨ä¤¤¦³Ó¬O¤]¬O
C:\WINNT\SWS32.dll
§âÃþ¦ü¥H¤Wªº¥þ³¡§R±¼ ª`·N¤£n§R°£Àq»{ªºÁäÈ¡]§R¤Fªº¸Ü«áªG¦Ût¡^
¦pªG¨S¦³¥H¤WÁäÈ¡A«hª½±µ¸õ¹L¦¹¨BÆJ
¡@
¤T µ²§ô¶iµ{
«ö¡§Ctrl+Alt+Del¡¨Áä¼u¥X¥ô°ÈºÞ²z¾¹¡A§ä¨ìlogo1_.exe µ¥¶iµ{¡Aµ²§ô¶iµ{¡A¥i¥HɧUºñÆNªº¶iµ{ºÞ²z³nÅé³B²z§ó¤è«K¡C§ä¨ìEXPL0RER.EXE¶iµ{¡A§ä¨ì¥¦«á¿ï¤¤¥¦¨ÃÂIÀ»¡§µ²§ô¶iµ{¡¨¥Hµ²§ô±¼¡]¦pªGEXPL0RER.EXE¶iµ{¦A¦¸¹B¦æ°_¨Ó»Ýn«°µ³o¤@¨B¡^¡C
¥| ¸Ë±þ¬r³nÅé
¸Ë§¹«á¤£n«·s±Ò°Ê¡]¤Á°O¡^ª½±µ¤É¯Å¯f¬r®w¡A¤É¯Å§¹«á¡A§âC:\winnt ¥Ø¿ý¤U©Ò¦³±a¬rÀɧR°£¡CµM«á¹B¦æ±þ¬r³nÅé¶}©l±þ¬r¡C
±þ§¹«á¡CÁÙ¦³´XÓ±þ¬r³nÅéµLªk§R±¼ªºªF¦èn§â¦W¦r°O¤U¨Ó¡C¦]¬°¤£¦Pªº¨t²Î¦³¤£¦Pªº¦W¦r¡C©Ò¥H³oùØ»¡¤£²M·¡¤F¡C¦Û¤v°O¤U¨Ó¡C,«·s±Ò°Ê«á¦A¦¸±þ¬r¡C°Oªº§â¥iºÃªº¶iµ{ªºµ²§ô¡C§_«h±þ¬r³nÅéµLªk°®²b±þ¬r¡CÁÙ¦³³Ì«nªº¤@ÂI°Oªº§â±þ¬r³nÅéµLªk²M°£ªº¯f¬r³]¸m¬°§R°£ÀÉ¡C¤@¯ën«½Æ±þ¬r3-5¦¸¤~¯à±þ°®²b¡C
¤¡C¬Ý¬Ý±þ¬r«áªº¨t²Î¡C
¯Ê¤Öªº¤F«Ü¦h¨t²ÎÀÉ¡C¨t²Î³B©ó¦MÀIª¬ºA¡C¦pªG§A¦³GHOST ³Æ¥÷¡C³oÓ®ÉÔ«ì´_¤@¤U¡C¨t²Î¥i¥H°®²bµL·l¡C¦pªG¨S¦³½Ð¹B¦æ SFC ©R¥OÀˬdÀɨt²Î¡C¨ãÅé¾Þ§@¬° ¹B¦æ-¿é¤JCMD ©R¥O¶i¤JDOS ´£¥Ü²Å¡C-¿é¤JSFC /scannow -- ´£¥Ü©ñ¤J¨t²Î¥úºÐ¡C--©ñ¶i¥h§a¡CµM«áºCºCµ¥¡C
¬Ý¬Ý¦¨ªG¡C±þ¬r®ÄªGÅãµÛ¡C¬r±þ°®²b¤F¡C¦ý¬O±þ§¹¬r«á«Ü¦h¹CÀ¸³£ª±¤£¤F¡C¦£¤F¤@°é³£¤£ª¾¹D¦Û¤v¦b¦£¤°»ò¡CÆ{´e§a¡CµM«á«·s°µ¨t²Î§a¡C½Ö¥s¤¤¬rªº¬Oºô§aªº¨t²Î
±þ¬r¤Î«¸Ë¨t²Î«áªº¨¾½d
¦³¨Çºô¤Í¦b³B²z¯f¬rªº®ÉÔ¥i¯à¦³³o¼Ëªº·Pı¦n¤£®e©ö²M°£¤F¡A©ÎªÌ¨S¿ìªk«·s¸Ë¤F¨t²Î¡A¦ý¬O¨S¦hªø®É¶¡¤S¤¤¤F¦P¼Ëªº¯f¬r¡A©Ò¥H»¡¦³§K¬Ìµ{¦¡¹ê³Ì¦nªº¤F¡C¤U±´N±N§K¬Ìµ{¦¡¤½§G¦p¤U¡A¨Ñºô¤Í̤U¸ü¨Ï¥Î¡G
«Øij°µ¨t²Îªº®ÉÔ§âÀq»{¦@¥ÎÃö³¬¡CÃö³¬IPC$ ADMIN$ Ãö³¬554 Ãö³¬ICMP¸ô¥Ñ¡Cµ¹ADMINISTRATOR ²Õ©Ò¦³¦¨û³]¸m±K½X¡C³Ì¦n¼Æ¦r¥[^¤å
²{¦b¦ì§}¥i¥H¨ì¥»¯¸ªº³nÅé¤U¸ü¤¤¥h§ä§ä¡A§A¥i¥Hª½±µ³q¹L¤U±ªººô§}¤U¸ü¡Ghttp://whit.net.cn/down/SoftView.Asp?SoftID=100
¤å¥ó»¡©ú¤U¸ü¸ÑÀ£«á¦³3Ó¤å¥ó
dellogo.bat©ñ¦bwinnt¥Ø¿ý¤U¡A98ªº¥Î¤á©ñ¨ìwindows¥Ø¿ý¤U
delshare.bat©ñ¨ì¶}©l¥\¯àªí--µ{¦¡---±Ò°Ê¶µ¤¤¡A¥Øªº¯àÅý¹q¸£±Ò°Ê«á´N§R°£Àq»{¦@¥Î¡A±q¦Óªý¤î¯f¬r¹ï¥~¶Ç¼½©M¦A¦¸·P¬Vªº¾ô¼Ù¡C
ljl.reg¤U¸ü«áª½±µ¹B¦æ³oÓÀÉ¡A´£¥Ü¡A¸ê°T¾É¤Jµù¥Uªí«á¡A»¡©ú¼g¤Jµù¥Uªí¦¨¥\¡A¥Øªº¬OÅý¹q¸£«·s±Ò°Ê«á¯à¥ß¨è§R°£¯f¬r¥DÃDÀÉ
logo1.exe¤å¥ó¡Cnª`·Nªº¹ê³oÓµù¥Uªí¾É¤JÀɬO°w¹ïwin2000¨t²Îªº¡A¦pªG±z¬O¨ä¥Lªº§@·~¨t²Î¡A½Ð°Ñ¦Òקï¤@¤U´N¥i¥H¡C
¥H¤W¾Þ§@¥u¬OªýÂ_¶Ç¼½¡A¦pªG©È¦b¨Ï¥Î¤¤·P¬V¦¹¯f¬r¡A±zÁÙ»Ýn«ö·Ó¦p¤U¾Þ§@¡A³o¼Ë§Y¨Ï¯f¬r·P¬V¡A¤]¤£¯à¹B¦æ¥DÅé¯f¬rµ{¦¡¡C
·íµM³oùØ»¡ªº¾Þ§@¹ê°w¹ïwin2000¨t²Îªº¡A¨ä¥Lªº¨t²Î¥i¥H°Ñ¦Ò¾Þ§@¡G
¹B¦æ gpedit.msc ¥´¶}²Õµ¦²¤
¨Ì¦¸³æÀ»¥Î¤á°t¸m- ºÞ²z¼Ò²Õ- ¨t²Î-«ü©w¤£µ¹windows¹B¦æªºµ{¦¡
ÂI±Ò¥Î µM«á ÂIÅã¥Ü ²K¥[ logo1_exe ¤]´N¬O¯f¬rªºì©lÀÉ®× ¡C2000 ¬O¨S¦³¯ÂDOSªº¡A¦pªGn¶i DOS ´N±o¥Î DOS±Ò°Ê½L¶i¤J¡A¤ñ¦p¡A¥úºÐªº¡AUSBªº¡A³nºÐªº¡C¦Ó¥B±o¥ý¶i BIOS ³]¸m¬° ¥úºÐ¾÷±Ò°Ê¡A©ÎªÌUSB¬Ý§A¥Î¤°»ò¨Ó±Ò°Ê¤F¡C
¶i¤JDOS«á¡A®æ¦¡¤Æªº©R¥O¬O¡G
format c:/q
c¥NªíC½L¡A®æ§Oªº½L´N´«§Oªº¡A°Ñ¼ÆQ¥Nªí§Ö³t®æ¦¡¤Æ¡CXP»Ýn¨Ï¥Î98±Ò°Ê½L¦b¶}¾÷«á¤Þ¾É¶i¤Jdos¡C 2000´N¦b¶}©l---¹B¦æ,¿é¤JCMD§Y¥i
[ ¥»©«³Ì«á¥Ñ ¤p³ ©ó 2007-3-2 19:13 ½s¿è ]
