基本介紹
病毒名稱 worm@w32.looked
病毒別名 virus.win32.delf.62976 [kaspersky], w32/hllp.philis.j [mcafee],w32.looked [symantec]
net-worm.win32.zorin.a
病毒型態 worm (網絡蠕蟲)
病毒發現日期 2004/12/20
影響平臺 windows 95/98/me , windows nt/2000/xp/2003
風險評估
散播程度:中
破壞程度:中
主要癥狀:
1、占用大量網速,使機器使用變得極慢。
2、會捆綁所有的exe文件,只要壹運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出壹些程序框,有時候應用程序壹起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及xp系統都不感染。
5、能繞過所有的還原軟件。
詳細技術信息:
病毒運行後,在%windir%生成 logo1_.exe 同時會在windws根目錄生成壹個名為virdll.dll的文件。
%windir%virdll.dll
該蠕蟲會在系統註冊表中生成如下鍵值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
盜取密碼
病毒試圖登陸並盜取被感染計算機中網絡遊戲傳奇2的密碼,將遊戲密碼發送到該木馬病毒的植入者手中。
阻止以下殺毒軟件的運行
病毒試圖終止包含下列進程的運行,這些多為殺毒軟件的進程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的殺毒軟件運行。國產軟件在中毒後都被病毒殺死,是病毒殺掉-殺毒軟件。如金山,瑞星等。哪些軟件可以認出病毒。但是認出後不久就陣亡了。通過寫入文本信息改變%system%driversetchosts 文件。這就意味著,當受感染的計算機瀏覽許多站點時(包括眾多反病毒站點),瀏覽器就會重定向到66.197.186.149。
病毒感染運行windows操作系統的計算機,並且通過開放的網絡資源傳播。壹旦安裝,蠕蟲將會感染受感染計算機中的.exe文件。該蠕蟲是壹個大小為82k的windows pe可執行文件。通過本地網絡傳播該蠕蟲會將自己復制到下面網絡資源:
admin$
ipc$
癥狀
蠕蟲會感染所有.exe的文件。但是,它不會感染路徑中包含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt
蠕蟲會從內存中刪除下面列出的進程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
z
網吧遭此病毒破壞造成大面積的卡機,癱瘓。危害程度可以和世界排名前十的愛情後門變種相比。該病毒可以通過網絡傳播,傳播周期為3分鐘。如果是新做的系統處於中了毒的網絡環境內,只要那個機器壹上網,3分鐘內必定中招。中招後妳安裝 rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav 等殺
毒軟件 都無法補救妳的系統,病毒文件 logo1_.exe 為主體病毒,他自動生成病毒發作所需要的的 sws32.dll
sws.dlll kill.exe 等文件。這些文件壹但衍生。他將迅速感染系統內explore 等系統核心進程 及所以.exe
的可執行文件,外觀典型表現癥狀為 傳奇 ,泡泡堂,等遊戲圖標變色。 此時系統資源可用率極低,妳每重新啟動壹次,病毒就會發作壹次。
該病毒對於防範意識較弱,還原軟件未能及時裝到位的網吧十分致命,其網絡傳播速度十分快捷有效。舊版的殺毒軟件無法檢測,新版的無法徹底根殺。壹但網吧內某臺機器中了此病毒,那麽該網吧所有未中毒的機器都處於危險狀態。由於病毒發作貯留於內存。且通過explore.exe 進行傳播。因此即使是裝了還原精靈,還原卡的機器也同樣會被感染。妳重新啟動後系統可以還原。但是妳壹但開機還是會被感染。病毒發作會生成另外病毒 pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是些非常厲害的後門程序。和外掛病毒相似,但是其威力是外掛病毒的50倍以上。在win98平臺下,改病毒威害比較小。在win2000 /xp/2003平臺對於網吧系統是致命的。運行系統極度卡機。妳重新啟動後妳會發現妳所有遊戲的.exe 程序全部都感染了最新殺毒軟件殺完後。除了系統可以勉強運行。其他的妳也別想運行了。
病毒清理辦法
如果在病毒沒有發作情況下殺毒是可以完全搞定的。如果發作了也不要殺毒了。直接克盤恢復吧。
壹、找到註冊表中[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
刪除downloadwww主鍵
二、找到
[hkey_local_machinesoftwaremicrosoftwindows ntcurrentversioninifilemappingsystem.iniboot]
winlogo 項
把winlogo 項 後面的c:winntsws32.dll 刪掉
接下來把hkey_local_machine]software/microsoft/windows/currentversi 鍵中 /runonce/runonceex
兩個中其中有個是也是
c:winntsws32.dll
把類似以上的全部刪掉 註意不要刪除默認的鍵值(刪了的話後果自負)
如果沒有以上鍵值,則直接跳過此步驟
三 結束進程
按“ctrl+alt+del”鍵彈出任務管理器,找到logo1_.exe 等進程,結束進程,可以借助綠鷹的進程管理軟件處
理更方便。找到expl0rer.exe進程(註意第5個字母是數字0不是字母o),找到它後選中它並點擊“結束進程”
以結束掉(如果expl0rer.exe進程再次運行起來需要重做這壹步)。
四 裝殺毒軟件
裝完後不要重新啟動(切記)直接升級病毒庫,升級完後,把c:winnt 目錄下所有帶毒文件刪除。然後運行
殺毒軟件開始殺毒。
殺完後。還有幾個殺毒軟件無法刪掉的東西要把名字記下來。因為不同的系統有不同的名字。所以這裏說不清
楚了。自己記下來。,重新啟動後再次殺毒。記的把可疑的進程的結束。否則殺毒軟件無法幹凈殺毒。還有最重
要的壹點記的把殺毒軟件無法清除的病毒設置為刪除文件。壹般要重復殺毒3-5次才能殺幹凈。
五。看看殺毒後的系統。
缺少的了很多系統文件。系統處於危險狀態。如果妳有ghost 備份。這個時候恢復壹下。系統可以幹凈無損。如果沒有請運行 sfc 命令檢查文件系統。具體操作為 運行-輸入cmd 命令進入dos 提示符。-輸入sfc
/scannow -- 提示放入系統光盤。--放進去吧。然後慢慢等。看看成果。殺毒效果顯著。毒殺幹凈了。但是殺完毒後很多遊戲都玩不了。忙了壹圈都不知道自己在忙什麽。郁悶吧。然後重新做系統吧。誰叫中毒的是網吧的系統殺毒及重裝系統後的防範,有些網友在處理病毒的時候可能有這樣的感覺好不容易清除了,或者沒辦法重新裝了系統,但是沒多長時間有中了同樣的病毒,所以說有免疫程序實最好的了。
下面就將免疫程序公布如下,供網友們下載使用: 建議做系統的時候把默認***享關閉。關閉ipc$ admin$ 關閉554 關閉icmp路由。給administrator 組所有成員設置密碼。最好數字加英文下載地址可以到的軟件下載中去找找,妳可以直接通過下面的網址下載:/softdown/list.asp?id=151 文件說明下載解壓後有3個文件dellogo.bat放在winnt目錄下,98的用戶放到windows目錄下delshare.bat放到開始菜單--程序---啟動項中,目的能讓計算機啟動後就刪除默認***享,從而阻止病毒對外傳播和再次感染的橋梁。ljl.reg下載後直接運行這個文件,提示,信息導入註冊表後,說明寫入註冊表成功,目的是讓計算機重新啟動後能立刻刪除病毒主題文件logo1_.exe文件。要註意的實這個註冊表導入文件是針對win2000系統的,如果您是其他的操作系統,請參考修改壹下就可以。
以上操作只是阻斷傳播,如果怕在使用中感染此病毒,您還需要按照如下操作,這樣即使病毒感染,也不能運行主體病毒程序。當然這裏說的操作實針對win2000系統的,其他的系統可以參考操作:
運行 gpedit.msc 打開組策略
依次單擊用戶配置- 管理模塊- 系統-指定不給windows運行的程序點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源文件 。
還有壹步要做
我試過上面的方法,沒有搞定沒,他少了另壹個步驟,在c盤中搜索rundl132.exe(註意rundl----132.exe,後面壹個是壹,以前都讓他混過去了)刪除,註冊表中也要刪除rundl132.exe相關的內容。