一、該病毒特點:
名 稱:威金(Worm.Viking)
處理時間:2006-06-01 威脅級別:★★
病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行爲:
該病毒爲Windows平臺下集成可執行文件感染、網絡感染、下載網絡***或其它病毒的複合型病毒,病毒運行後將自身僞裝成系統正常文件,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過線程注入技術繞過防火牆的監視,連接到病毒作者指定的網站下載特定的***或其它病毒,同時病毒運行後枚舉內網的所有可用共享,並嘗試通過弱口令方式連接感染目標計算機。
運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行後將自身複製到Windows文件夾下,文件名爲:
%SystemRoot%\rundl132.exe
2、運行被感染的文件後,病毒將病毒體複製到爲以下文件:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名爲:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。
8、枚舉以下殺毒軟件進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟件:
net stop "Kingsoft AntiVirus Service"
10、發送ICMP探測數據"Hello,World",判斷網絡狀態,網絡可用時,
枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網絡感染。
11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並運行相關程序:
[url]http://www.17[/url]**.com/gua/zt.txt 保存爲:c:\1.txt
[url]http://www.17[/url]**.com/gua/wow.txt 保存爲:c:\1.txt
[url]http://www.17[/url]**.com/gua/mx.txt 保存爲:c:\1.txt
[url]http://www.17[/url]**.com/gua/zt.exe 保存爲:%SystemRoot%Sy.exe
[url]http://www.17[/url]**.com/gua/wow.exe 保存爲:%SystemRoot%\1Sy.exe
[url]http://www.17[/url]**.com/gua/mx.exe 保存爲:%SystemRoot%\2Sy.exe
注:三個程序都爲***程序
14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
二、專殺工具
[url]http://it.rising.com.cn/service/technology/RavVikiing.htm[/url]
三、刪除_desktop.ini
該病毒會在每個文件夾中生成一個名爲_desktop.ini的文件,一個個去刪除,顯然太費勁,(我的機器的操作系統因安裝在NTFS格式下,所以系統盤下的文件夾中沒有這個文件,另外盤下的文件夾無一倖免),因此在這裏介紹給大家一個批處理命令 del d:\_desktop.ini /f/s/q/a,該命令的作用是:
強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除
/f 強制刪除只讀文件
/q 指定靜音狀態。不提示您確認刪除。
/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
/a的意思是按照屬性來刪除了
這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini文件用的
使用方法是開始--所有程序--附件--命令提示符,鍵入上述命令(也可複製粘貼),首先刪除D盤中的_desktop.ini,然後依此刪除另外盤中的_desktop.ini。
至此,該病毒對機器造成的影響全部消除。
覺得有用的朋友們拿去試試吧
名 稱:威金(Worm.Viking)
處理時間:2006-06-01 威脅級別:★★
病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行爲:
該病毒爲Windows平臺下集成可執行文件感染、網絡感染、下載網絡***或其它病毒的複合型病毒,病毒運行後將自身僞裝成系統正常文件,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過線程注入技術繞過防火牆的監視,連接到病毒作者指定的網站下載特定的***或其它病毒,同時病毒運行後枚舉內網的所有可用共享,並嘗試通過弱口令方式連接感染目標計算機。
運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行後將自身複製到Windows文件夾下,文件名爲:
%SystemRoot%\rundl132.exe
2、運行被感染的文件後,病毒將病毒體複製到爲以下文件:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名爲:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。
8、枚舉以下殺毒軟件進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟件:
net stop "Kingsoft AntiVirus Service"
10、發送ICMP探測數據"Hello,World",判斷網絡狀態,網絡可用時,
枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網絡感染。
11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並運行相關程序:
[url]http://www.17[/url]**.com/gua/zt.txt 保存爲:c:\1.txt
[url]http://www.17[/url]**.com/gua/wow.txt 保存爲:c:\1.txt
[url]http://www.17[/url]**.com/gua/mx.txt 保存爲:c:\1.txt
[url]http://www.17[/url]**.com/gua/zt.exe 保存爲:%SystemRoot%Sy.exe
[url]http://www.17[/url]**.com/gua/wow.exe 保存爲:%SystemRoot%\1Sy.exe
[url]http://www.17[/url]**.com/gua/mx.exe 保存爲:%SystemRoot%\2Sy.exe
注:三個程序都爲***程序
14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
二、專殺工具
[url]http://it.rising.com.cn/service/technology/RavVikiing.htm[/url]
三、刪除_desktop.ini
該病毒會在每個文件夾中生成一個名爲_desktop.ini的文件,一個個去刪除,顯然太費勁,(我的機器的操作系統因安裝在NTFS格式下,所以系統盤下的文件夾中沒有這個文件,另外盤下的文件夾無一倖免),因此在這裏介紹給大家一個批處理命令 del d:\_desktop.ini /f/s/q/a,該命令的作用是:
強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除
/f 強制刪除只讀文件
/q 指定靜音狀態。不提示您確認刪除。
/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
/a的意思是按照屬性來刪除了
這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini文件用的
使用方法是開始--所有程序--附件--命令提示符,鍵入上述命令(也可複製粘貼),首先刪除D盤中的_desktop.ini,然後依此刪除另外盤中的_desktop.ini。
至此,該病毒對機器造成的影響全部消除。
覺得有用的朋友們拿去試試吧
------------------------------------------------------
長沙市傲翔網絡服務有限公司(臺灣俠諾湖南銷售中心)
聯 系 人:郭權
電 話:0731-4159882 15802599881
商 務 QQ:524025096
技術支持羣: 55955025
網 站:[url]http://www.damtech.com.cn[/url]
長沙傲翔網絡服務有限公司(俠諾湖南總代理)俠諾多WAN路由流量控制,防止ARP,實現策略路由湖南分銷
◆ 臺灣俠諾(Qno)湖南總代理
◆ 協助網吧企業徹底防止ARP***
◆ 專業多WAN網吧企業服務商
◆ 專業***方案提供商
◆ 全國首家語音路由器
◆ 最用心的華人網絡
◆ 俠諾:俠之大者,一言一諾
長沙市傲翔網絡服務有限公司(臺灣俠諾湖南銷售中心)
聯 系 人:郭權
電 話:0731-4159882 15802599881
商 務 QQ:524025096
技術支持羣: 55955025
網 站:[url]http://www.damtech.com.cn[/url]
長沙傲翔網絡服務有限公司(俠諾湖南總代理)俠諾多WAN路由流量控制,防止ARP,實現策略路由湖南分銷
◆ 臺灣俠諾(Qno)湖南總代理
◆ 協助網吧企業徹底防止ARP***
◆ 專業多WAN網吧企業服務商
◆ 專業***方案提供商
◆ 全國首家語音路由器
◆ 最用心的華人網絡
◆ 俠諾:俠之大者,一言一諾
以下是我自己處理的方法:
(1)先下載好瑞星威金病毒專殺工具;
[url]http://it.rising.com.cn/service/technology/RavVikiing.htm[/url]
(2)斷開網絡;
(3)處理C盤:能系統還原的就係統還原,這樣節省時間,不行的就重裝系統;
(4)再在安全模式下用剛纔下的專殺工具清除掉C盤以外的其它盤的病毒;
(5)用全盤搜索功能(記得在高級選項裏把搜索隱藏文件的選項勾上),搜索名爲“_desktop.ini”的文件,搜索好後,凡是符合要求的全部刪除;
(6)清除完後重啓機器即可。