基本介紹
- 中文名:Win32.Vcing.ois
- 類別:病毒
- 威脅級別:一星
- 類型:黑客程式
病毒信息,病毒行為,原理,解決辦法,防止復發,
病毒信息
處理時間:2007-03-19 威脅級別:★
病毒行為
這是一個windows平台的感染型病毒,感染後綴名為.exe的檔案。
1、釋放病毒檔案到如下路徑:
C:\Program Files\Internet Explorer\WebTime.exe
C:\Program Files\Internet Explorer\IEXPL0RE.EXE
2、執行釋放出的病毒檔案
C:\Program Files\Internet Explorer\IEXPL0RE.EXE
連線如下IP:
219.232.224.126
3、創建如下病毒服務,開機自動啟動:
服務名:WebTime
顯示名:WebTime
描述 :自動與 Internet 時間伺服器同步
4、創建如下鍵值:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray32"="C:\Program Files\Internet Explorer\IEXPL0RE.EXE"
5、遍歷D、E、F、G、H、I磁碟,查找後綴名為.exe的檔案感染。
原理
運行過程過感染用戶機器上的執行檔,造成用戶機器運行速度變慢,破壞用戶機器的執行檔,給用戶安全性構成危害。
病毒主要通過已分享資料夾、檔案捆綁、運行被感染病毒的程式、可帶病毒的郵件附屬檔案等方式進行傳播。
1、病毒運行後將自身複製到Windows資料夾下,檔案名稱為:
%SystemRoot%\rundl132.exe
2、運行被感染的檔案後,病毒將病毒體複製到為以下檔案:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒資料夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜尋所有可用分區中的exe檔案,然後感染所有大小27kb-10mb的執行檔,感染完畢在被感染的資料夾中生成:
_desktop.ini (檔案屬性:系統、隱藏)。
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts檔案。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程式,查找到窗體後傳送訊息關閉該程式。
8、枚舉以下防毒軟體進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:
net stop "Kingsoft AntiVirus Service"
10、傳送ICMP探測數據"Hello,World",判斷網路狀態,網路可用時,
枚舉區域網路所有共享主機,並嘗試用弱口令連線\\IPC$、\admin$等共享目錄,連線成功後進行網路感染。
11、感染用戶機器上的exe檔案,但不感染以下資料夾中的檔案:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
解決辦法
如果在病毒沒有發作情況下防毒是可以完全搞定的。如果發作了也不要防毒了。直接克盤恢復吧。
一、找到註冊表中[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
刪除downloadwww主鍵
二、找到
[hkey_local_machine/software/microsoft/windows nt/currentversion/inifilemapping/system.ini/boot]
winlogo 項
把winlogo 項 後面的c:winntsws32.dll 刪掉
接下來把[hkey_local_machine]software/microsoft/windows/currentversi 鍵中 /runonce/runonceex
兩個中其中有個是也是
c:winntsws32.dll
把類似以上的全部刪掉 注意不要刪除默認的鍵值(刪了的話後果自負)。
如果沒有以上鍵值,則直接跳過此步驟 。
在C糟winnt根目錄里找到logo1_.exe,vdll.dll和rundl132.exe(注意rundl----132.exe,後面一個是一,以前都讓他混過去了)刪除,註冊表中也要刪除rundl132.exe相關的內容。
三 結束進程
按“ctrl+alt+del”鍵彈出任務管理器,找到logo1_.exe 等進程,結束進程,可以藉助綠鷹的進程管理軟體處
理更方便。找到expl0rer.exe進程(注意第5個字母是數字0不是字母o),找到它後選中它並點擊“結束進程”
以結束掉(如果expl0rer.exe進程再次運行起來需要重做這一步)。
防止復發
運行gpedit.msc打開組策略
依次單擊用戶配置- 管理模組- 系統-指定不給windows運行的程式點啟用 然後 點顯示 添加 logo1_exe 也就是病毒的源檔案。
