威金病毒

威金病毒

近期有一個名為“威金蠕蟲變種DR(Worm.Viking.dr)”的病毒正在網際網路上肆虐。該病毒集檔案型病毒蠕蟲病毒、病毒下載器於一身,傳播能力非常強。該病毒會破壞用戶的一些軟體,造成它們無法使用。“威金蠕蟲”是一個能在WIN9X/NT/2000/XP系統上運行的蠕蟲病毒,通過感染檔案、區域網路以及其他病毒下載傳播。該病毒還會自動在後台下載並運行“QQ通行證”等其他病毒,竊取用戶QQ及網路遊戲的賬號和密碼並傳送給黑客。由於該病毒在編寫上存在一些問題,可造成一些用戶的軟體被破壞,無法使用。

基本介紹

特徵,解決方案,介紹,_desktop.ini,手動清除,使用說明,

特徵

1、病毒運行後將自身複製到Windows資料夾下,檔案名稱為:
%SystemRoot%\rundl132.exe
2、運行被感染的檔案後,病毒將病毒體複製到為以下檔案:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒資料夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜尋所有可用分區中的exe檔案,然後感染所有大小27kb-10mb的執行檔,感染完畢在被感染的資料夾中生成:
_desktop.ini(檔案屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts檔案。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程式,查找到窗體後傳送訊息關閉該程式。
8、枚舉以下防毒軟體進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:
net stop "Kingsoft AntiVirus Service"
10、傳送ICMP探測數據"Hello,World",判斷網路狀態,網路可用時,枚舉區域網路所有共享主機,並嘗試用弱口令連線\\IPC$、\admin$等已分享資料夾,連線成功後進行網路感染。
11、感染用戶機器上的exe檔案,但不感染以下資料夾中的檔案:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll檔案嘗試連線以下網站下載並運行相關程式:
http://www.17**.com/gua/zt.txt 保存為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt 保存為:c:\1.txt
http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
註:三個程式都為木馬程式
14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
15、威金病毒變種類型
Worm/Viking.aof//病毒類型:蠕蟲
I-Worm/Warezov.fl//病毒類型:蠕蟲
Worm.Xiazaizhe.a //病毒類型:蠕蟲
Worm.Viking.ss //病毒類型:蠕蟲
Trojan/DDos.Agent.r//病毒類型:木馬
setup.exe病毒(Worm.Viking)
網上衝浪,就比較容易中logo1_exerundl132.exe(仔細在任務管理器中可以找到.)
既然是通過網路傳播,就有傳播的連線埠,可以考慮在網路設備上增加ACL,進行訪問控制.在邊界防火牆上增加相關的連線埠禁止策略.
因其有主機感染的特點,更要加強網路版防毒軟體終端系統的更新和及時查殺。
另外,防火牆除了禁止傳播連線埠外,一般對病毒的基本無控制能力,而很多病毒(除了移動存儲設備)均來自於網路中,邊界的防毒,垃圾郵件,帶毒郵件的威脅需要用戶重視.可以採用例如DCFW-1800E-UTM統一威脅管理設備.進行防毒 防垃圾郵件的安全控制.

解決方案

另外瑞星升級到最新版本也能清除該病毒,建議先手動刪除然後在用瑞星掃描全盤。

介紹

維金病毒的泛濫愈演愈烈,10月份發布了幾個專殺工具幫助千百萬計的用戶脫離苦海,近日又接到了很多用戶發來的維金病毒報告郵件,沒想到這個病毒比原來更猖獗了.原來的工具源碼在一次意外中丟失,這次又狠下心重新編寫了,也加入了最新的維金病毒特徵碼.請有需要的廣大的用戶下載使用,更希望能把在使用時發現的問題反饋給我們,或到下面的"支持部落格"中留言.
該工具可以有效解除被感染的exe中的病毒並還原exe檔案,網上的大部分工具是直接刪除exe檔案。另外,本工具還具有Viking免疫功能。
下載後直接運行即可查殺,如果查殺幾次都有無法關閉的進程的,重新啟動一下計算機繼續查殺應該可以殺掉。直到病毒數為0時為止。如果配合PlanTasks程式可發揮更大威力。
特別推薦
CHENOE Anti-Virus Tools維金專殺 (民間版 魏滔序)
有用戶反應該病毒變種可抑制瑞星卡巴斯基等主流防毒軟體的啟動,在此前提下可安裝這個民間版,軟體不到一兆,在系統遲緩的前提下可輕鬆運行,相信對中此病毒的朋友能夠有所幫助。

_desktop.ini

該病毒會在每個資料夾中生成一個名為_desktop.ini的檔案,一個個去刪除,顯然太費勁,(我的機器的作業系統因安裝在NTFS格式下,所以系統盤下的資料夾中沒有這個檔案,另外盤下的資料夾無一倖免),因此在這裡介紹給大家一個批處理命令 del d:\_desktop.ini /f/s/q/a,該命令的作用是:強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini檔案並且不提示是否刪除/f 強制刪除唯讀檔案
/q 指定靜音狀態。不提示您確認刪除。/s 從當前目錄及其所有子目錄中刪除指定檔案。顯示正在被刪除的檔案名稱。/a的意思是按照屬性來刪除了這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini檔案用的使用方法是開始--所有程式--附屬檔案--命令提示符,鍵入上述命令(也可複製貼上),首先刪除D糟中的_desktop.ini,然後依此刪除另外盤中的_desktop.ini。至此,該病毒對機器造成的影響全部消除。覺得有用的朋友們拿去試試吧

手動清除

方法A
一、重啟,並進安全模式
二、防毒
1、顯示隱藏檔案:
打開“我的電腦”——工具——資料夾選項——查看
a、把“隱藏受保護的作業系統檔案(推薦)”和“隱藏已知檔案類型的擴展名”前面的勾去掉;
b、勾中“顯示所有檔案和資料夾”
2、在系統安裝資料夾內<;一般是C:\WINDOWS和C:\WINDOWS\system32>/用搜尋找到你所中病毒<;比如找logo_1.exe rundl132.exe> 完全刪除之 然後都建立名為"logo1_.exe"、"rundl132.exe"的空資料夾/並把屬性設為“唯讀”,這樣病毒也就無法運行了。
3、在所有的硬碟中刪除_desktop.ini
4、清空IE瀏覽產生的垃圾和記錄檔案。<C:\Documents and Settings\用戶名\Local Settings和Temporary Internet Files 下所有檔案都可刪除。>
<3/4其實可以不用做。不過為了更加完善 清理垃圾檔案也是不錯的。>
--------------------手工清理辦法結束--------------------
方法B
⒈同時按下CTRL,ALT,DEL三鍵打開任務管理器,結束病毒<;比如logo1_.exe>;進程.
2同樣需要刪除作業系統盤(一般是C糟)winnt目錄下的logo1_.exe檔案.
⒊運行gpedit.msc打開組策略,依次單擊用戶配置- 管理模組- 系統-指定不給windows運行的程式,點啟用 然後 點顯示 添加病毒的源檔案< 比如logo1_exe>;。
⒋把默認共享關閉,給ADMINISTRATOR 組所有成員設定密碼。防止病毒重新感染。<;呵呵。說到這裡。紳博的朋友們 你們是不是個人電腦都有密碼呢 不要以為不設密碼就表示你大方。其實這樣也給病毒很多機會了。所以電腦還是應該要設定個簡單密碼的。這裡不就有作用拉~>.
--------------------手工清理辦法結束--------------------
<;說明:以上兩方法任意選一都可行。原理:前面是安全模式下病毒沒運行所以直接刪。再禁。後面是中毒情況下關閉進程。然後強刪,再禁。最終效果是一樣的。>
五、推薦使用威金病毒全盤修復工具
功能描述
專門針對感染執行檔(.exe)的威金病毒全盤修復工具,可以對已被vikin感染的檔案進行修復!點這裡下載威金全盤修復工具!

使用說明

將ArFix.rar 下載到本地解壓縮(請不要在壓縮檔中運行,不然特徵庫可能無法保存)
運行ArFix.exe
添加樣本-〉選擇一個病毒檔案或者一個被病毒感染的檔案(如某些圖示有變化的檔案,有時需要添加病毒母體才能殺乾淨)!
顯示病毒可能是個正常檔案時,說明這不是個被感染的程式,可能是病毒母體,這種無法修復,只能刪除!(檔案選擇錯誤,會刪除掉正常的程式)
顯示為被感染的可執行程式時,說明這個被感染了,可以修復!
添加到特徵庫後,會看到支持的變種數量增加了!
進行全盤查殺!
您可以通過登入windows清理助手網站了解更多關於軟體工具使用和系統安全知識!
最後 請大家注意 網上有個威金補丁千萬不要下 是後門軟體我機器就中招了 13次系統重裝的代價 都是因為這個補丁 最後壞了一塊120G硬碟(擦寫次數過多) 後來一個懂行的朋友幫我查出來的 每次一安裝這個補丁就會在8小時內發作威金 隱蔽性很強 害人啊 很多重要工作數據丟失了 損失無法估量 (希望追求刑事責任)

相關詞條

熱門詞條

聯絡我們