U盘病毒家族又添新丁 看准EXE程序下手

    U盘病毒似乎已经离我们远去。但最近出现的一种logogo变种让U盘类病毒又有死灰复燃的趋势。它不但可以感染每个系统分区，而且会侵入所有EXE文件，造成病毒的重复感染。对后期的安全防护工作带来巨大挑战。

    “logogo变种151552”（Win32.LwyMum.i.151552），这是一个logogo病毒变种。病毒运行后会释放病毒文件至系统文件夹和每个硬盘根目录，劫持大部分安全软件和感染硬盘中的大部分exe文件。
 
    “下载者77964”（win32.pswtroj.win32.77964），这是一个木马下载者。该病毒运行成功后，会立即下载海量的病毒，占用内存，使用户操作困难。并且被下载的病毒文件具有盗号的目的并稍微带有破坏情节。盗取的对象是当前比较流行且大型的网络游戏和通讯工具的帐号密码等。

    一、“logogo变种151552”（Win32.LwyMum.i.151552）  威胁级别：★

    病毒进入电脑系统后，在系统盘%WINDOWS%\system\目录下释放出病毒文件BoBoTurbo.exe，在全部磁盘分区的根目录下生成AUTO文件XP.EXE和autorun.inf，并修改注册表实现开机自动运行。此后，只要用户打开含毒磁盘分区，病毒就会被激活。而如果在中毒电脑上使用U盘等移动存储设备，病毒也会自动运行起来，并感染U盘。

    一旦病毒开始运行，它就会劫持系统中已安装的安全软件，目前国内外常见的安全软件几乎都在它的黑名单中。被劫持后，安全软件将无法运行，如果用户试图启动这些软件，只会将病毒不停激活而已。

    随后，病毒搜索用户系统中的EXE可执行文件，除了QQ和系统升级等少数文件“漏网”外，大部分EXE文件都会被感染。病毒会在被感染的exe文件中增加一个标记，防止自己重复感染。然后收集用户计算机名字和网卡物理地址等信息，发送至hxxp://u**on.2*575.com/count/count这个由病毒作者指定的远程网址，并统计中毒者人数，计算自己的“战果”。

    进入发作的后期，病毒会悄悄连接远程服务器，下载大量其它病毒文件到用户电脑上运行，给用户的系统安全造成无法估计的威胁。

    二、“下载者77964”（win32.pswtroj.win32.77964）  威胁级别：★★

    病毒进入系统后，在%WINDOWS%目录下释放出病毒文件NVDispDRV.EXE和SHAProc.exe，然后修改注册表中的数据，使自己实现开机自动运行。

    如果得以成功运行，病毒源文件会读取其自带的文本“new[1].txt”，根据里面所写的连接地址下载病毒文件，存放到%windows%、%system32%、%drivers%等文件夹下。运行成功后，病毒会进行自删除，避免用户找到毒源。被下载的病毒大部分是盗号木马，会盗取目前流行的即时聊天软件和网游的帐号密码。

    在病毒发作的过程中，偶尔会弹出一个对话框，名字为“RUNDLL”，如果用户检查其属性，可看到它的内容是“shell32.dll出错  丢失条目:control_rundll”。随着被下载的病毒文件陆续发作，系统资源将被大大占用，最后电脑会陷入半瘫痪状态。