通过sniffer查找LOGO1_EXE.doc

Logo1_.exe病毒的查杀 最近网络上流传的一种LOGO1_.EXE蠕虫病毒开始风快发作。中毒者轻者机器运行速度变慢性能下降，重者所有.EXE程序无法运行，重伤不治即使通过ghost回复系统也不能彻底清除病毒必须重装系统。在汹涌的毒潮下，公司的电脑也没有逃过此劫！ 7日上午有位同事反映电脑运行速度变慢，切运行程序出现异常，杀毒软件开始报警。下载木马杀客更新病毒库，杀。结果扫出一堆木马来，此时并没有注意木马病毒的名称。简单认为这只是个案。与此同时公司的共享打印机工作出现异常，在打印队列中总是出现名为：“远程下层作业”的文件大小为8KB，此作业一直处于“正在打印”状态，导致后续的正常打印作业无法进行，此时我仍然认为是某个同事发送的打印文件有问题。通过删除“远程下层作业”或者重新开启打印机解决问题。下午隔壁同事的Mcafee杀毒软件报警提示检测到病毒logo1_.exe w32/hllp:philis.at 发送者为：13，通过此时IP地址发现是一同事的机器。此时我开始警觉起来，立刻google logo1_.exe 原来是一款蠕虫病毒切威力巨大。 立刻对同事反映慢的机器进行杀毒，同事严密监视13 下面让我们看看logo1_.exe是怎么通过网络进行传播的filter是基于子网的过滤。 首先中毒机器通过WINS服务扫描网络中活动的机器 得到回应后立刻从活动的机器中选择一个进行连接，通过ping探测收到回应后立刻对目标端口445和139进行3次握手连接，端口445和139都是用于网络共享，由于445开放所以染毒机器选用445端口进行传播 染毒机器连接到目标机器上后立刻通过CIFS/SMB (公用因特网文件系统/ 主机讯息区)协议 当连接上目标主机后立刻查找目标主机系统目录下有没有logo1_.exe文件，并要求获得此文件当收到目标主机的否定答复后 染毒机器会要求在目标主机上创建一个logo1_.exe文件，当收到确认后立刻把病毒主体传输到目标机器 传输病毒程序 再次查找目标主机系统目录中是否有logo1_.exe文件，确认是否传播成功 传播成功 接下来为什么要建立个srvsvc 以及利用MS/DCE RPC PROTOCOL 进行后续的操作就不是很清除了，但总体的行为我们已经了解。 几张不解的截图 由于qiantai这台机器装有卡巴斯基切处在实时更新中，所以当病毒写到qiantai硬盘后便被立刻查杀。通过sniffer Pro快速定位到一些染毒的机器，进行重点杀毒。 事件结果：由于没有及时发现病毒，造成网内部分机器染毒，但通过及时升级病毒库利用杀毒软件和木马专杀工具结合对病毒进行查杀同事配合手工杀毒~~~~~，虽然工作量很大但还是能彻底清除病毒！同时要注意的是检查中毒机器上的打印程序（如：Microsoft office Document Image writer），如果该程序已经设置共享很可能打印列表里有一堆“远程下层作业”从而使进程spoolsv.exe占用大量CPU处理时间引起机器性能下降。 反思 此次公司机器大部分染毒，主要是最初染毒的机器上的杀毒软件病毒库不是处在必威体育精装版更新状态，且某些同事网络安全意识较差，以及最初的一些症状和事件并没有引起我们的注意和警觉才导致受感染的机器数目进一步扩大。再好的杀毒软件都是后知后觉的，良好的习惯和敏感的意识才是我们所需要的 BY: KIMICN 附件： 病毒名称 “威金（Worm.Viking）” 病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a 病毒型态 Worm (网络蠕虫) 病毒发现日期 2004/12/20 影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003 风险评估 散播程度：中 破坏程度：中 主要症状: 1、占用大量网速，使机器使用变得极慢。 2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。 3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。 4、阻止以下杀毒软件的运行,包括卡八斯基，金山公司的毒霸。瑞星等98%的杀毒软件运行。 5、访问部分反病毒安全网站时，浏览器就会重定向到49 详细技术信息： 病毒运行后，在%Windir%生成 Logo1_