基本介紹
病毒名稱 Worm@W32.Looked
病毒別名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a
病毒型態 Worm (網絡蠕蟲)
病毒發現日期 2004/12/20
影響平臺 Windows 95/98/ME , Windows NT/2000/XP/2003
風險評估
散播程度:中
破壞程度:中
主要癥狀:
1、占用大量網速,使機器使用變得極慢。
2、會捆綁所有的EXE文件,只要壹運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出壹些程序框,有時候應用程序壹起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及XP系統都不感染。
5、能繞過所有的還原軟件。
詳細技術信息:
病毒運行後,在%Windir%生成 Logo1_.exe 同時會在windws根目錄生成壹個名為"virDll.dll"的文件。
%WinDir%\virDll.dll
該蠕蟲會在系統註冊表中生成如下鍵值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
盜取密碼
病毒試圖登陸並盜取被感染計算機中網絡遊戲傳奇2的密碼,將遊戲密碼發送到該木馬病毒的植入者手中。
阻止以下殺毒軟件的運行
病毒試圖終止包含下列進程的運行,這些多為殺毒軟件的進程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的殺毒軟件運行。
國產軟件在中毒後都被病毒殺死,是病毒殺掉-殺毒軟件。如金山,瑞星等。哪些軟件可以認出病毒。但是認出後不久就陣亡了。
通過寫入文本信息改變"%System%\drivers\etc\hosts" 文件。這就意味著,當受感染的計算機瀏覽許多站點時(包括眾多反病毒站點),瀏覽器就會重定向到66.197.186.149。
病毒感染運行window*操作系統的計算機,並且通過開放的網絡資源傳播。壹旦安裝,蠕蟲將會感染受感染計算機中的.**e文件。
該蠕蟲是壹個大小為82K的Windows PE可執行文件。
通過本地網絡傳播
該蠕蟲會將自己復制到下面網絡資源:
ADMIN$
IPC$
癥狀
蠕蟲會感染所有.exe的文件。但是,它不會感染路徑中包含下列字符串的文件:
\Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
蠕蟲會從內存中刪除下面列出的進程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
網吧遭此病毒破壞造成大面積的卡機,癱瘓。危害程度可以和世界排名前十的愛情後門變種相比。該病毒可以通過網絡傳播,傳播周期為3分鐘。如果是新做的系統處於中了毒的網絡環境內,只要那個機器壹上網,3分鐘內必定中招。中招後妳安裝 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等殺毒軟件 都無法補救妳的系統,病毒文件 Logo1_.exe 為主體病毒,他自動生成病毒發作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。這些文件壹但衍生。他將迅速感染系統內EXPLORE 等系統核心進程 及所以.exe 的可執行文件,外觀典型表現癥狀為 傳奇 ,泡泡堂,等遊戲圖標變色。 此時系統資源可用率極低,妳每重新啟動壹次,病毒就會發作壹次。
該病毒對於防範意識較弱,還原軟件未能及時裝到位的網吧十分致命,其網絡傳播速度十分快捷有效。舊版的殺毒軟件無法檢測,新版的無法徹底根殺。壹但網吧內某臺機器中了此病毒,那麽該網吧所有未中毒的機器都處於危險狀態。由於病毒發作貯留於內存。且通過EXPLORE.exe 進行傳播。因此即使是裝了還原精靈,還原卡的機器也同樣會被感染。妳重新啟動後系統可以還原。但是妳壹但開機還是會被感染。
病毒發作會生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厲害的後門程序。和外掛病毒相似,但是其威力是外掛病毒的50倍以上。在WIN98平臺下,改病毒威害比較小。在WIN2000 /XP/2003 平臺對於網吧系統是致命的
運行系統極度卡機。妳重新啟動後妳會發現妳所有遊戲的.EXE 程序全部都感染了
最新殺毒軟件殺完後。除了系統可以勉強運行。其他的妳也別想運行了。
病毒清理辦法
如果在病毒沒有發作情況下殺毒是可以完全搞定的。如果發作了也不要殺毒了。直接克盤恢復吧。
壹、找到註冊表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
刪除DownloadWWW主鍵
二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
winlogo 項
把WINLOGO 項 後面的C:\WINNT\SWS32.DLL 刪掉
接下來把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 鍵中 /RunOnce/RunOnceEx 兩個中其中有個是也是
C:\WINNT\SWS32.dll
把類似以上的全部刪掉 註意不要刪除默認的鍵值(刪了的話後果自負)
如果沒有以上鍵值,則直接跳過此步驟
三 結束進程
按“Ctrl+Alt+Del”鍵彈出任務管理器,找到logo1_.exe 等進程,結束進程,可以借助綠鷹的進程管理軟件處理更方便。找到EXPL0RER.EXE進程(註意第5個字母是數字0不是字母O),找到它後選中它並點擊“結束進程”以結束掉(如果EXPL0RER.EXE進程再次運行起來需要重做這壹步)。
四 裝殺毒軟件
裝完後不要重新啟動(切記)直接升級病毒庫,升級完後,把C:\winnt 目錄下所有帶毒文件刪除。然後運行殺毒軟件開始殺毒。
殺完後。還有幾個殺毒軟件無法刪掉的東西要把名字記下來。因為不同的系統有不同的名字。所以這裏說不清楚了。自己記下來。,重新啟動後再次殺毒。記的把可疑的進程的結束。否則殺毒軟件無法幹凈殺毒。還有最重要的壹點記的把殺毒軟件無法清除的病毒設置為刪除文件。壹般要重復殺毒3-5次才能殺幹凈。
五。看看殺毒後的系統。
缺少的了很多系統文件。系統處於危險狀態。如果妳有GHOST 備份。這個時候恢復壹下。系統可以幹凈無損。如果沒有請運行 SFC 命令檢查文件系統。具體操作為 運行-輸入CMD 命令進入DOS 提示符。-輸入SFC /scannow -- 提示放入系統光盤。--放進去吧。然後慢慢等。
看看成果。殺毒效果顯著。毒殺幹凈了。但是殺完毒後很多遊戲都玩不了。忙了壹圈都不知道自己在忙什麽。郁悶吧。然後重新做系統吧。誰叫中毒的是網吧的系統
殺毒及重裝系統後的防範
有些網友在處理病毒的時候可能有這樣的感覺好不容易清除了,或者沒辦法重新裝了系統,但是沒多長時間有中了同樣的病毒,所以說有免疫程序實最好的了。下面就將免疫程序公布如下,供網友們下載使用:
建議做系統的時候把默認***享關閉。關閉IPC$ ADMIN$ 關閉554 關閉ICMP路由。給ADMINISTRATOR 組所有成員設置密碼。最好數字加英文
現在地址可以到的軟件下載中去找找,妳可以直接通過下面的網址下載:
文件說明下載解壓後有3個文件
dellogo.bat放在winnt目錄下,98的用戶放到windows目錄下
delshare.bat放到開始菜單--程序---啟動項中,目的能讓計算機啟動後就刪除默認***享,從而阻止病毒對外傳播和再次感染的橋梁。
ljl.reg下載後直接運行這個文件,提示,信息導入註冊表後,說明寫入註冊表成功,目的是讓計算機重新啟動後能立刻刪除病毒主題文件
logo1_.exe文件。要註意的實這個註冊表導入文件是針對win2000系統的,如果您是其他的操作系統,請參考修改壹下就可以。
以上操作只是阻斷傳播,如果怕在使用中感染此病毒,您還需要按照如下操作,這樣即使病毒感染,也不能運行主體病毒程序。
當然這裏說的操作實針對win2000系統的,其他的系統可以參考操作:
運行 gpedit.msc 打開組策略
依次單擊用戶配置- 管理模塊- 系統-指定不給windows運行的程序
點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源文件