运行样本..

释放文件

C:\\WINDOWS\\system\\logo_1.exe

C:\\WINDOWS\\system\\SYSTEM32.vxd

C:\\WINDOWS\\system\\SYSTEM32.dat

每个盘根目录下生成

X:\\go.exe

X:\\autorun.inf

写入注册表

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run]

"ntaskldr"="C:\\WINDOWS\\system\\logo_1.exe"

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"ntaskldr"="C:\\WINDOWS\\system\\logo_1.exe"

最恶心的部分介绍下..

logo_1.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\\*.exe /s /b >>C:\\WINDOWS\\system\\SYSTEM32.vxd.dat

X为某个盘..

运行命令后感染X盘里的所有 .exe 文件...

感染后还会释放一个同名文件后辍为 .exe.tmp

system volume information

recycled

这俩个文件夹内的.exe文件..感染后释放的同名文件后辍为 .exe.dat

如果中毒的电脑打开 我的电脑 时.. logo_1.exe 会连网下载⒏个木马程序..

分别为:

C:\\WINDOWS\\system\\jwm.exe

C:\\WINDOWS\\system\\mhh.exe

C:\\WINDOWS\\system\\ztd.exe

C:\\WINDOWS\\system\\mir.exe

C:\\WINDOWS\\system\\wo3.exe

C:\\WINDOWS\\system\\ienet.exe

C:\\WINDOWS\\system\\wol.exe

C:\\WINDOWS\\system\\wll.exe

被感染的文件..头部写入: 19,738 字节 尾部写入:5 字节

地址=00407F80

反汇编=MOV EDX,2_.0040847C

文本字串=瑞星 卡巴 金山 诺盾 爱老虎油！！！！！！

作者留下的..

作者：mopery

清除指南：

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。

清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

2.用强制删除工具 PowerRMV

分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭

C:\\WINDOWS\\system\\logo_1.exe

C:\\WINDOWS\\system\\SYSTEM32.vxd

C:\\WINDOWS\\system\\SYSTEM32.dat

C:\\WINDOWS\\system\\jwm.exe

C:\\WINDOWS\\system\\mhh.exe

C:\\WINDOWS\\system\\ztd.exe

C:\\WINDOWS\\system\\mir.exe

C:\\WINDOWS\\system\\wo3.exe

C:\\WINDOWS\\system\\ienet.exe

C:\\WINDOWS\\system\\wol.exe

C:\\WINDOWS\\system\\wll.exe

C:\\Autorun.inf

C:\\go.exe

D:\\Autorun.inf

D:\\go.exe

E:\\Autorun.inf

E:\\go.exe

F:\\Autorun.inf

F:\\go.exe

如果还有G H盘等依次输入

G:\\autorun.inf

G:\\go.exe 等。不再赘述。

重启计算机 然后再进入安全模式执行如下的操作

--------------------------------------------------------------

以下的操作都要求安全模式下进行。

[安全模式？重启电脑时按住F8 选择进入安全模式]

--------------------------------------------------------------

3. 用工具 SREng 删除如下各项

【如下操作有风险，必须看懂上面的方法再操作。】

启动项目 -->注册表 的如下项

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<ntaskldr><C:\\WINDOWS\\system\\logo_1.exe> [N/A]

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]

<ntaskldr><C:\\WINDOWS\\system\\logo_1.exe> [N/A]

4、EXE被感染的文件的专杀（修复）工具制作中，将第一时间发布。

请收藏本网址，以备查看。