Logo1_.

exe 病毒的 查杀

最近网络上流传的一种 LOGO1_.EXE 蠕虫病毒开始风快发作。中毒者轻者机器运行速

度变慢性能下降，重者所有 .EXE 程序无法运行，重伤不治即使通过 ghost 回复系统也不能
彻底清除病毒必须重装系统。在汹涌的毒潮下，公司的电脑也没有逃过此劫！
7 日上午有位同事反映电脑运行速度变慢，切运行程序出现异常，杀毒软件开始报警。
下载木马杀客更新病毒库，杀。结果扫出一堆木马来，此时并没有注意木马病毒的名称。简
单认为这只是个案。与此同时公司的共享打印机工作出现异常，在打印队列中总是出现名为：
“远程下层作业”的文件大小为 8KB，此作业一直处于“正在打印”状态，导致后续的正
常打印作业无法进行，此时我仍然认为是某个同事发送的打印文件有问题。通过删除“远程
下层作业”或者重新开启打印机解决问题。下午隔壁同事的 Mcafee 杀毒软件报警提示检测
到病毒 logo1_.exe w32/hllp:philis.at 发送者为：192.168.0.113，通过此时 IP 地址发现是一同
事的机器。此时我开始警觉起来，立刻 google logo1_.exe 原来是一款蠕虫病毒切威力巨大。
立刻对同事反映慢的机器进行杀毒，同事严密监视 192.168.0.113 下面让我们看看
logo1_.exe 是怎么通过网络进行传播的 filter 是基于子网的过滤。
首先中毒机器通过 WINS 服务扫描网络中活动的机器

得到回应后立刻从活动的机器中选择一个进行连接，通过 ping 探测收到回应后立刻对

目标端口 445 和 139 进行 3 次握手连接，端口 445 和 139 都是用于网络共享，由于 445 开放
所以染毒机器选用 445 端口进行传播

染毒机器连接到目标机器上后立刻通过 CIFS/SMB (公用因特网文件系统/ 主机讯息区)协

议与目标机器进行协商获取目标机器状态，并尝试连接目标机器的 IPC$和 admin$
当连接上目标主机后立刻查找目标主机系统目录下有没有 logo1_.exe 文件，并要求获得此
文件当收到目标主机的否定答复后

染毒机器会要求在目标主机上创建一个 logo1_.exe 文件，当收到确认后立刻把病毒主体传

输到目标机器
传输病毒程序

再次查找目标主机系统目录中是否有 logo1_.exe 文件，确认是否传播成功

传播成功

接下来为什么要建立个 srvsvc 以及利用 MS/DCE RPC PROTOCOL 进行后续的操作就不是

很清除了，但总体的行为我们已经了解。
几张不解的截图
由于 qiantai 这台机器装有卡巴斯基切处在实时更新中，所以当病毒写到 qiantai 硬盘后便被
立刻查杀。通过 sniffer Pro 快速定位到一些染毒的机器，进行重点杀毒。
事件结果：由于没有及时发现病毒，造成网内部分机器染毒，但通过及时升级病毒库利用
杀毒软件和木马专杀工具结合对病毒进行查杀同事配合手工杀毒 ~~~~~，虽然工作量很大
但还是能彻底清除病毒！同时要注意的是检查中毒机器上的打印程序（如： Microsoft office
Document Image writer ），如果该程序已经设置共享很可能打印列表里有一堆“远程下层
作业”从而使进程 spoolsv.exe 占用大量 CPU 处理时间引起机器性能下降。

反思
此次公司机器大部分染毒，主要是最初染毒的机器上的杀毒软件病毒库不是处在最新
更新状态，且某些同事网络安全意识较差，以及最初的一些症状和事件并没有引起我们的
注意和警觉才导致受感染的机器数目进一步扩大。再好的杀毒软件都是后知后觉的，良好的
习惯和敏感的意识才是我们所需要的

BY:

KIMICN

附件：
病毒名称 “威金（Worm.Viking）”
病 毒 别 名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked
[symantec]
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度：中
破坏程度：中

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的 EXE 文件，只要一运用应用程序，在 winnt 下的 logo1.exe 图标就会相应变
成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就
被强行退出。
4、阻止以下杀毒软件的运行,包括卡八斯基，金山公司的毒霸。瑞星等 98%的杀毒软件运行。

5、访问部分反病毒安全网站时，浏览器就会重定向到 66.197.186.149

详细技术信息：
病 毒 运 行 后 ， 在 %Windir% 生 成 Logo1_.exe 同 时 会 在 windws 根 目 录 生 成 一 个 名
为"virDll.dll"的文件。
该蠕虫会在系统注册表中生成如下键值：
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"

病毒感染运行 windows 操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫

将会感染受感染计算机中的.exe 文件。
该蠕虫是一个大小为 82K 的 Windows PE 可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源：
ADMIN$
IPC$
★☆☆手动清除病毒方法☆☆★
（1）在进程中找到并结束 Logo1_.exe、rundl132.exe 进程
（2）找到并删除%Windir%下的 Logo1_.exe、rundl132.exe、vDll.dll 文件
（ 3 ）打开注册表，索引到 HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW ，删
除 auto 键值
（ 4 ） 打 开 注 册 表 ， 索 引 到 HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\WIndows，删除 load 键值
（ 5 ）打开 %system%\drivers\etc 下 hosts 文件，删除“ 127.0.0.1 localhost” 一行后所有内容
↓
（6）下载”Worm.Viking 专杀工具“，在安全模式下全盘杀毒。↓
（7）插入系统光盘，重做系统

另外一个方法：
第一步:用同时按下 CTRL,ALT,DEL 三键打开任务管理器,结束 logo1_.exe 进程.
第二步:删除操作系统盘(一般是 C 盘)winnt 目录下的 logo1_.exe 文件.
可以看出,以上两步是很普通的,大部分人都会,关键是第三步.
第三步:在操作系统盘(一般是 C 盘)winnt 目录下,创建一个文件夹(((记住是文件夹而不是文
件))),文件夹名为 logo1_.exe,并设置该文件夹的属性为只读 +隐藏. 这样 logo1_.exe 病毒再也
无法运行了,也就是它的破坏作用 (比如降低网速)也消失了.唯一的缺陷就是那些变色的应用
程序图标还是依旧.如果你希望应用程序的图标恢复,那么(1)你可以重装系统,记住重装系统
后一定要在 winnt 目录下,创建一个名叫 logo1_.exe 文件夹并设置该文件夹的属性为只读 +隐
藏,以防再次感染,使电脑得到免疫.也可以(2)等到能够杀该病毒的软件诞生为止.
杀毒原理:创建 logo1_.exe 文件夹,使无法创建 logo1_.exe 文件,把文件夹设为只读 +隐藏使安
全性更高.

Worm.Viking 专杀工具下载地址：http://it.rising.com.cn/service/technology/RavVikiing.htm