「logogo變種151552」(Win32.LwyMum.i.151552),這是一個logogo病毒變種。病毒運行後會釋放病毒文件至系統文件夾和每個硬碟根目錄,劫持大部分安全軟體和感染硬碟中的大部分exe文件。
「下載者77964」(win32.pswtroj.win32.77964),這是一個木馬下載者。該病毒運行成功後,會立即下載海量的病毒,佔用記憶體,使用戶操作困難。並且被下載的病毒文件具有盜號的目的並稍微帶有破壞情節。盜取的對象是當前比較流行且大型的網絡遊戲和通訊工具的賬號密碼等。
一、「logogo變種151552」(Win32.LwyMum.i.151552) 威脅級別:★
病毒進入電腦系統後,在系統盤%WINDOWS%/system/目錄下釋放出病毒文件BoBoTurbo.exe,在全部硬碟分區的根目錄下生成AUTO文件XP.EXE和autorun.inf,並修改註冊表實現開機自動運行。此後,只要用戶打開含毒硬碟分區,病毒就會被激活。而如果在中毒電腦上使用USB隨身碟等移動儲存設備,病毒也會自動運行起來,並感染USB隨身碟。
一旦病毒開始運行,它就會劫持系統中已安裝的安全軟體,目前國內外常見的安全軟體幾乎都在它的黑名單中。被劫持後,安全軟體將無法運行,如果用戶試圖啟動這些軟體,只會將病毒不停激活而已。
隨後,病毒搜索用戶系統中的EXE可執行文件,除了QQ和系統升級等少數文件「漏網」外,大部分EXE文件都會被感染。病毒會在被感染的exe文件中增加一個標記,防止自己重複感染。然後收集用戶計算機名字和網卡物理地址等信息,發送至hxxp://u**on.2*575.com/count/count這個由病毒作者指定的遠程網址,並統計中毒者人數,計算自己的「戰果」。
進入發作的後期,病毒會悄悄連接遠程伺服器,下載大量其它病毒文件到用戶電腦上運行,給用戶的系統安全造成無法估計的威脅。
二、「下載者77964」(win32.pswtroj.win32.77964) 威脅級別:★★
病毒進入系統後,在%WINDOWS%目錄下釋放出病毒文件NVDispDRV.EXE和SHAProc.exe,然後修改註冊表中的資料,使自己實現開機自動運行。
如果得以成功運行,病毒源文件會讀取其自帶的文本「new[1].txt」,根據裡面所寫的連接地址下載病毒文件,存放到%windows%、%system32%、%drivers%等文件夾下。運行成功後,病毒會進行自刪除,避免用戶找到毒源。被下載的病毒大部分是盜號木馬,會盜取目前流行的即時聊天軟體和網游的賬號密碼。
在病毒發作的過程中,偶爾會彈出一個對話框,名字為「RUNDLL」,如果用戶檢查其屬性,可看到它的內容是「shell32.dll出錯 丟失條目:control_rundll」。隨著被下載的病毒文件陸續發作,系統資源將被大大佔用,最後電腦會陷入半癱瘓狀態。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(