" id="b1img" alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO">
  • " alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" />
  • " alt="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" title="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" />
  • " alt="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" title="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" />

重要警报:穿透系统还原卡的木马病毒出现,全国范围火速传播

网络运维2006-06-06 itlogger阅读(1,235) 评论(6)

信息来源:cnbeta

今天我已经遇到了许多Q群中蔓延着以下信息,

看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ ! http://www.search_2.shtml.cgi-client-entry.

photo.39pic.com/qq%xxxxxxE5%86%8C2/"

大家看到以后千万别点,会产生灾难性后果,值得注意的是,这个具有穿透性传染力的病毒可以抵御还原卡和还原软件的防护.

Worm.Logo.b病毒

“logo”蠕虫病毒,该病毒通过IPC共享进行传播,会感染系统中的可执行文件.病毒还会从网上下载木马,从而窃取感染机器上的敏感信息.

此木马可以在局域网中传播,能穿透冰点 还原精灵的等还原软件.自动在QQ上发传播.而且病毒针对全盘,用Ghost恢复C盘是没用的.

2006-6-1 21:25:24 Encountered and terminated CoolWWWSearch.Oslogo in C:bootconf.exe!

2006-6-1 21:25:30 已拒绝 value "load" (new data: "C:WINDOWSrundl132.exe") 已修改 in NT startup!

2006-6-1 21:25:55 已拒绝 value "shoket" (new data: "C:WINDOWSsystem32SHELLEXTsvchs0t.exe") 已添加 in System Startup global entry!

2006-6-1 21:25:58 已拒绝 value "jiahus" (new data: "C:WINDOWSsystem32svchqs.exe") 已添加 in System Startup global entry!

2006-6-2 11:18:36 已拒绝 value "UserInit" (new data: "C:WINDOWSsystem32userinit.exe") 已修改 in Winlogon!

2006-6-2 11:18:53 已拒绝 value "UserInit" (new data: "C:WINDOWSsystem32userinit.exe") 已修改 in Winlogon!

珊瑚虫论坛中monfan的spybotlog记录.

主要症状:

1、占用大量网速,使机器使用变得极慢.

2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标.

3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出.

4、网吧中只感梁win2k pro版,server版及XP系统都不感染.

5、能绕过所有的还原软件.

详细技术信息:

病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件.

%WinDir%virDll.dll

该蠕虫会在系统注册表中生成如下键值:

[HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW]

"auto" = "1"

 盗取密码

  病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中.

  

阻止以下杀毒软件的运行

  病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程. 包括卡八斯基,金山公司的毒霸.瑞星等.98%的杀毒软件运行.

国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件.如金山,瑞星等.哪些软件可以认出病毒.但是认出后不久就阵亡了.

通过写入文本信息改变"%System%driversetchosts" 文件.这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149.

病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播.一旦安装,蠕虫将会感染受感染计算机中的.exe文件.

该蠕虫是一个大小为82K的Windows PE可执行文件.

通过本地网络传播

该蠕虫会将自己复制到下面网络资源:

ADMIN$

IPC$

症状

蠕虫会感染所有.exe的文件.但是,它不会感染路径中包含下列字符串的文件:

Program Files

Common Files

ComPlus Applications

Documents and Settings

NetMeeting

Outlook Express

Recycled

system

System Volume Information

system32

windows

Windows Media Player

Windows NT

WindowsUpdate

winnt

蠕虫会从内存中删除下面列出的进程:

EGHOST.EXE

IPARMOR.EXE

KAVPFW.EXE

KWatchUI.EXE

MAILMON.EXE

Ravmon.exe

ZoneAlarm

转载请注明 :IT樵客
文章地址:http://www.itlogger.com/network/312.html
标签:
相关文章

6 thoughts on “重要警报:穿透系统还原卡的木马病毒出现,全国范围火速传播

  1. 把杀毒软件更新到最新,然后杀毒!

发表评论

电子邮件地址不会被公开。 必填项已用*标注