一、认识一下logo病毒
logo_exe 是一种名叫w32.look.*的病毒(这是诺顿起的病毒名称,*为不同变种的名称),也就是所说的W32.Viking威金蠕虫病毒的变种。不过它是通过什么途径传播的,目前还不得而知。一个月变种三次让人很头疼,它首先感染一些升级文件,如名称里含有UPDATE的文件,发作后迅速感染其他EXE文件,并在局域网里传播,尤其喜欢攻击服务器,在局域网中广播频率大约是三分钟(w32.look.BK版本),同时释放出多种木马和后门等黑客工具。中招后的主要症状是EXE文件无法使用。
二、如何判断你的机子是否中毒
看看你的C:\WINDOWS以及C:\WINDOWS\SYSTEM32里是否有logo1_.exe 或logo_1.exe大约40多k,同时在c:\windows\uninstall或c:\windows或c:\windows\system32里是否有rundl132.dll或rund1l32.dll,其实有第一个症状就基本能恭喜你中招了。其他跟随产生的文件还有zts2.dll、mhs2.dll、dll.dll、xy.dll、richdll.dll等dll文件(每个变种生成的dll文件不一样)同时还有dc1.exe~dc15.exe等,并且还感染SVCHOST.EXE、LSASS.EXE、SMSS.EXE、RUNDLL32等系统核心文件。所以,一旦中招并发作,系统会遭受严重的创伤,危在旦夕了……严重的重装是无法避免了。节哀顺便吧。
三、中招后补救措施
一旦发现logo文件,一定不要重起机子,据说每重起一次病毒就复制一次,重起五次系统就基本没救了。先深呼吸五次,保持冷静。然后打开任务管理器,看看进程里是否有logo项,没有的话可能没发作,抓紧把重要想要保住的软件的EXE文件打开,并把文件类型改成只读然后删除可疑文件。然后静静的等待杀毒软件的病毒库更新到可以杀毒为止。如果发现可疑进程,那就比较棘手了。关闭可疑进程,然后删除可疑文件。重复刚才所说的内容。接下来新的有效的病毒库到来的时候,安全模式下全盘扫描吧,很有可能被感染的EXE文件都被删除(诺顿就是如此,哭了)而且很可能把系统文件也删掉了,这就面临着以后要重装或者修复系统了。不要想着使用系统还原等其他还原工具,因为还原文件照样会被感染的。
四、为中招机子的预防措施
在局域网中发现机子中招,立马拔掉该机子的网线,以免作为传染源继续危害社会。在其他未中招或中招但没发作的机子,做一个只读的并且和病毒文件logo1_.exe 或logo_1.exe以及rundl132.dll或rund1l32.dll放在相应的文件夹里。方法是先建一个同名的txt文件,再换成EXE文件,再设成只读形式。再设置让计算机不会自动运行该logo文件,方法是在运行里输入gpedit.msc,选择 用户配置---管理模板---系统---不用运行指定的windows应用程序 然后添加进logo1_.exe 、logo_1.exe等文件名。预防是很重要的哦,虽然病毒是防不胜防。
本文出自51CTO安全论坛,转载请注明出处及作者。请原文作者速与责编联系。