Logo_1 也称 威金

Logo_1 也称 威金(Worm.Viking) 来自瑞星官方的病毒介绍

Worm.Viking

这是一个使用[Delphi]编写的感染型蠕虫病毒。

该病毒主要通过枚举局域网磁盘资源进行传播。

该病毒只感染可执行文件。把宿主文件包在病毒的尾部，并把自己的图标替换为从宿主文件资源中提取的图标。

被感染的文件运行时，先执行病毒代码，然后释放并运行正常文件。

1、病毒运行后会把自己复制到%WINDIR%中，并释放一个动态库。

2、修改以下注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
添加键值"Load"

Win.ini的Windows节的Load项

3、病毒运行后会感染盘符从Z到C的所有“本地磁盘”（DRIVE_FIXED），
被感染的文件夹里会有一个名为“_desktop.ini”的文件，里面的内容为当前时间。

4、病毒有结束反病毒软件的行为

(1)病毒会搜索并使用"TerminateProcess"结束以下进程
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe

(2)病毒会向窗口名为RavMon.exe且窗口类名为RavMonClass的窗口发送WM_CLOSE消息结束该窗口。

(3)该病毒对“卡巴斯基”的监控有专门的处理。
病毒会通过waveOutGetVolume关闭操作系统声音，
然后每100毫秒搜索一次“主动防御 警报”和“文件保护 警报”窗口。搜索“允许”按钮，模拟鼠标点击。
并向卡巴斯基的通知窗口(ClassName:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。
如果连续4次没有找到窗口，还原系统声音，函数退出。

5、病毒会三次向进程注入释放出的动态库。
病毒首先枚举文件名为IEXPLORE.EXE的进程如果找到则注入其中，否则枚举文件名为explorer.exe的进程如果找到则注入其中。

6、病毒释放出来的动态库是一个Downloader。
不同的变种下载地址不同。

特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等
修改注册表
病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在 下次
  系统启动时，病毒可随之自动运行。

中毒后.该病毒能迅速感染explorer.exe 等核心进程.
以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。
添加logo1_.exe进程.还有其他几个忘记名字了..

同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage  

解决方法：

我查询了很多资料文章，其实现在都没有比较好的查杀方法 针对最新的变种。

部分杀毒软件还是查杀不出来的。推荐大家还是要以预防为主！

这是本贴的重点。防患于未然是最好的。不要等中招了在哭，到处找杀毒的

就是打补丁。在做好母盘时打上LOGO_补丁

专杀工具：http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml [“威金（Worm.Viking）”病毒专杀工具”]

LOGO_补丁：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"15"="Shell.sys"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll"

办法2:自己建立以上病毒文件名的文件夹.复制到windows.运行以下脚本,另存外bat

echo > c:\windows\Logo1_.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\vDll.dll
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\rundll32.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\1.com
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll

attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h

还有必须打上一个系统补丁：运行windows的自动更新，

安装2006年7月19日的更新补丁：windows xp KB917537安全更新