rundl132和熊猫烧香

令人抓狂的rundl132和熊猫烧香
所里的局域网遭到病毒和流氓软件攻击，我的本本也跟着倒霉。一个星期都在杀Rundl132(logo_1)和熊猫烧香，瑞星查不到，卡巴斯基杀毒过程死机，C盘格了3次，重装无数次，可是其他盘不能格，还是白搭！还要拯救Bonnie的本本，太他妈浪费我的时间了。 LOGO1.EXE（威金病毒）工作原理
由于“维金”病毒（又称“威金”病毒）为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。
　　运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。  Trojan资料：最近网上正在流窜这一类木马－游戏大盗，KV 报病毒名： Trojan/PSW.GamePass ，这类木马还有一个好听的别名：落雪木马，呵呵，在浪漫的名称背后隐藏的是一双冰冷狡诈的眼睛！如果你正在打网络游戏，并且中了这种木马话，那么你的 IC，IP，IQ卡，游戏帐号和密码，也就统统告诉它密码了！
游戏大盗 Trojan/PSW.GamePass ，落雪木马由VB 语言编写，一般加的是 nSPack 3.1 的壳，也就是通常所说的北斗壳（North Star），该木马文件图标一般是红色的，很像网络游戏的登陆器。
落雪木马可以盗取包括魔兽世界，传奇世界，征途，梦幻西游，边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备构成了极大的威胁。
病毒行为分析：
病毒运行后，将创建下列文件（以Windows xp 系统为例）：
c:\\program files\\common files\\iexplore.pif, 47274字节
c:\\program files\\internet explorer\\iexplore.com, 47274字节
c:\\Windows.com, 47274字节
c:\\Windows\\debug\\debugprogram.exe, 47274字节
c:\\Windows\\exeroute.exe, 47274字节
c:\\Windows\\explorer.com, 47274字节
c:\\Windows\\finder.com, 47274字节
c:\\Windows\\winlogon.exe, 47274字节
c:\\Windows\\System32\\command.pif, 47274字节
c:\\Windows\\System32\\dxdiag.com, 47274字节
c:\\Windows\\System32\\finder.com, 47274字节
c:\\Windows\\System32\\msconfig.com, 47274字节
c:\\Windows\\System32\\regedit.com, 47274字节
c:\\windows\\System32\\rundll32.com, 47274字节 在注册表中添加下列启动项： [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
\"Torjan Program\" = %WinDir%\\winlogon.exe [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] \"Shell\" = explorer.exe 1 这样，在Windows启动时，病毒就可以自动执行。 病毒通过修改下列注册表键值，改变IE默认主页等信息： [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Explorer\\Main] \"Check_Associations\" = no 病毒通过修改下列注册表键值，修改文件关联： [HKEY_CLASSES_ROOT\\dunfile\\shell\\open\\command]
\"\" = %systemroot%\\system32\\rundll32.com netshell.dll,invokedunfile %1 [HKEY_CLASSES_ROOT\\file\\shell\\open\\command]
\"\" = rundll32.com url.dll,fileprotocolhandler %l [HKEY_CLASSES_ROOT\\htmlfile\\shell\\open\\command]
\"\" = \"c:\\program files\\internet explorer\\iexplore.com\" -nohome 这样，用户打开任何dun html文件，都会再次运行病毒程序。 大家可以看到，该木马会生成很多文件，并且文件的大小都是一样的，这可能就是落雪木马名称的由来吧！其实这些文件都是同一个文件，只是文件名称不同而已。生成的病毒文件模拟成正常的工具名称，只是扩展名该成了 .com，这是利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，当用户调用 Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，可见病毒作者的“良苦用心”。
落雪木马会创建一个名为winlogon.exe 的进程，这个进程的路径是c:\\Windows\\winlogon.exe，以此来迷惑用户。落雪木马会创建以下键值实现开机自启动：
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] \"Torjan Program\"=\"CWINNT\\WINLOGON.EXE\"落雪木马还有一个很特别的地方，就是这个木马不仅仅感染C盘，还会在D 盘中也留下木马文件autorun.inf 文件是一个自动运行的脚本程序，里面内容如下，
[autorun]
OPEN=D:\\pagefile.pif 很明显，即便是用户中毒之后将