分析报告如下:
file: logogo.exe
Size: 23151 bytes
MD5: 2FE74B4FADECC310DF67560665C2E04E
SHA1: 218E8821E78A581B58985A600971F34EA5FD8576
CRC32: 8A4A3ED5
被感染的文件被加入27034字节的内容 图表不变
被感染的文件运行后释放1_.ii文件 此文件即病毒体 运行病毒体后 删除0_.ii自身
logogo.exe病毒生成如下文件:
C:\WINDOWS\system\logogo.exe
在每个分区下面生成setup.exe和autorun.inf 遍历非系统分区下面的*.exe文件 把文件名写入%systemroot%\win.log中,
被感染的文件运行后释放1_.ii文件 此文件即病毒体 运行病毒体后 删除0_.ii自身
注册表变化:
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加名为logogo的启动项,指向C:\WINDOWS\system\logogo.exe
在HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\下面添加NoAutoUpdate子键 并把其键值设置为0x00000001
禁止了微软的自动更新
file: logogo.exe
Size: 23151 bytes
MD5: 2FE74B4FADECC310DF67560665C2E04E
SHA1: 218E8821E78A581B58985A600971F34EA5FD8576
CRC32: 8A4A3ED5
被感染的文件被加入27034字节的内容 图表不变
被感染的文件运行后释放1_.ii文件 此文件即病毒体 运行病毒体后 删除0_.ii自身
logogo.exe病毒生成如下文件:
C:\WINDOWS\system\logogo.exe
在每个分区下面生成setup.exe和autorun.inf 遍历非系统分区下面的*.exe文件 把文件名写入%systemroot%\win.log中,
被感染的文件运行后释放1_.ii文件 此文件即病毒体 运行病毒体后 删除0_.ii自身
注册表变化:
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加名为logogo的启动项,指向C:\WINDOWS\system\logogo.exe
在HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\下面添加NoAutoUpdate子键 并把其键值设置为0x00000001
禁止了微软的自动更新