作者：清新阳光                                                  ( http://hi.baidu.com/newcenturysun)
日期：2007/09/09                                              (转载请保留此申明)

此病毒属于德夫(Worm.Delf)下载器的一个变种，之前有分析过他的另一个变种
http://hi.baidu.com/newcenturysun/blog/item/389b5eed31688ed6b31cb129.html

具体分析：

File: logogo.exe
Size: 23151 bytes
MD5: 2FE74B4FADECC310DF67560665C2E04E
SHA1: 218E8821E78A581B58985A600971F34EA5FD8576
CRC32: 8A4A3ED5

生成如下文件：
C:\WINDOWS\system\logogo.exe
在每个分区下面生成setup.exe和autorun.inf

遍历非系统分区下面的*.exe文件 把文件名写入%systemroot%\win.log中
然后根据里面的记录感染exe文件 同时跳过感染如下名称的文件
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe
zhengtu.exe
nettools.exe
laizi.exe
proxy.exe
Launcher.exe
WoW.exe
Repair.exe
BackgroundDownloader.exe
o2_unins_web.exe
O2Jam.exe
O2JamPatchClient.exe
O2ManiaDriverSelect.exe
OTwo.exe
sTwo.exe
GAME2.EXE
GAME3.EXE
Game4.exe
game.exe
hypwise.exe
Roadrash.exe
O2Mania.exe
Lobby_Setup.exe
CoralQQ.exe
QQ.exe
QQexternal.exe
BugReport.exe
tm.exe
ra2.exe
ra3.exe
ra4.exe
ra21006ch.exe
dzh.exe
Findbug.EXE
fb3.exe
Meteor.exe
mir.exe
KartRider.exe
NMService.exe
AdBalloonExt.exe
ztconfig.exe
patchupdate.exe

被感染的文件被加入27034字节的内容 图表不变

被感染的文件运行后释放1_.ii文件 此文件即病毒体 运行病毒体后 删除0_.ii自身

注册表变化：
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加名为logogo的启动项，指向C:\WINDOWS\system\logogo.exe
在HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\下面添加NoAutoUpdate子键 并把其键值设置为0x00000001
禁止了微软的自动更新

病毒体内有字样：我恨卡巴

连接网络下载木马
http://qb.*.com/8888.exe
http://qb.*.com/9999.exe
http://qb.*.com/2222.exe
http://qb.*.com/10000.exe
http://qb.*.com/3333.exe
http://qb.*.com/4444.exe
http://qb.*.com/11000.exe
http://qb.*.com/5555.exe
http://qb.*.com/6666.exe
http://qb.*.com/7777.exe
http://qb.*.com/12000.exe
http://qb.*.com/13000.exe
http://qb.*.com/14000.exe
http://qb.*.com/15000.exe
http://qb.*.com/16000.exe
http://qb.*.com/17000.exe
http://qb.*.com/18000.exe
http://qb.*.com/19000.exe
http://qb.*.com/20000.exe
http://qb.*.com/21.exe
等到C:\WINDOWS\system文件夹下

木马运行完毕后
植入了如下文件
C:\Program Files\NetMeeting\ravmsmon.dat
C:\Program Files\NetMeeting\ravmsmon.exe
C:\WINDOWS\system32\*ins.exe（*代表随机3位字母）
C:\WINDOWS\system32\*pri.dll（*代表随机3位字母）
C:\WINDOWS\system32\*ini.dll（*代表随机3位字母）
C:\WINDOWS\system32\kvmxacf.dll
C:\WINDOWS\system32\kvmxbis.exe
C:\WINDOWS\system32\kvmxbma.dll
C:\WINDOWS\system32\mxbcfg.dll
C:\WINDOWS\system32\*man.dll（*代表随机3位字母）
C:\WINDOWS\system32\ntaskldr.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\WinForm.exe
...

sreng日志如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <logogo><C:\WINDOWS\system\logogo.exe>     []
       <WinForm><C:\WINDOWS\WinForm.exe>     []
       <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <AppInit_DLLs><jhbpri.dll>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll>     []
       <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll>     []
       <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll>     []

清除办法：
一、清除病毒主程序
1.安全模式下(开机后不断 按F8键     然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
启动项目     注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <logogo><C:\WINDOWS\system\logogo.exe>     []

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
右键点击C盘（系统盘） 点击右键菜单中的第二个“打开” 打开磁盘

删除C:\WINDOWS\system\logogo.exe
以及该文件夹下的2222.exe~9999.exe 10000.exe~20000.exe
删除系统盘根目录下的setup.exe autorun.inf

右键右键点击其他盘 点击右键菜单中的第二个“打开” 打开磁盘
删除其他盘根目录下面的 setup.exe autorun.inf

2.清除其下载的木马和病毒
参考之前的分析http://hi.baidu.com/newcenturysun/blog/item/30341af4ef4c586cddc474a8.html即可

3.修复受感染的exe文件
使用杀毒软件全盘杀毒，修复受感染的exe文件