广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 8533 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] 威金(Worm.Viking)」病毒特点-专杀及_desktop.ini删除
威金(Worm.Viking)」病毒特点-专杀及_desktop.ini删除


今天下午无意中发现电脑所有文件中出现了一个名为_desktop.ini的文件,上网查找才知道中了一种名为威金(Worm.Viking)的病毒,而安装的江民杀毒软件竟然杀不了,没办法了,只好上网查找解决方法,还真让我给找到了,问题解决了,方法不敢独享,介绍给机器出了同样问题的人.
一、该病毒特点:
处理时间:2006-06-01 威胁级别:★★
病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下整合可执行文件感染、网路感染、下载网路木马或其它病毒的复合型病毒,病毒执行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动执行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒执行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标电脑。
执行过程过感染用户机器上的可执行文件,造成用户机器执行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、执行被感染病毒的程式、可带病毒的邮件附件等方式进行传播。
1、病毒执行后将自身复制到Windows资料夹下,文件名为:
  %SystemRoot%\rundl132.exe
2、执行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒资料夹下产生:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的资料夹中产生:
_desktop.ini (文件内容:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过新增如下注册表项实现病毒开机自动执行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒执行时尝试查找窗体名为:"RavMonClass"的程式,查找到窗体后发送消息关闭该程式。
8、枚举以下杀毒软件工作行程名,查找到后停止其工作行程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令停止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测资料"Hello,World",判断网路状态,网路可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网路感染。
11、感染用户机器上的exe文件,但不感染以下资料夹中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统工作行程,尝试将病毒dll(vdll.dll)选择性注入以下工作行程名对应的工作行程:
Explorer
Iexplore
找到符合条件的工作行程后随机注入以上两个工作行程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并执行相关程式:
http://ww...17**.com/gua/zt.txt 储存为:c:\1.txt
http://ww...17**.com/gua/wow.txt 储存为:c:\1.txt
http://ww...17**.com/gua/mx.txt 储存为:c:\1.txt
http://ww...17**.com/gua/zt.exe 储存为:%SystemRoot%Sy.exe
http://ww...17**.com/gua/wow.exe 储存为:%SystemRoot%\1Sy.exe
http://ww...17**.com/gua/mx.exe 储存为:%SystemRoot%\2Sy.exe
注:三个程式都为木马程式
14、病毒会将下载后的"1.txt"的内容新增到以下相关注册表项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="预设=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
二、专杀工具
http://it.rising.com.cn/servi...vVikiing.htm
三、删除_desktop.ini
该病毒会在每个资料夹中产生一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统硬碟下的资料夹中没有这个文件,另外盘下的资料夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a,该命令的作用是:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照内容来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
使用方法是开始--所有程式--附件--命令提示字元,键入上述命令(也可复制贴上去),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。
至此,该病毒对机器造成的影响全部消除。


========================================================================================
>>>>这个存为批处理,可以迅速清理.但是属于治标不治本.碰到一台电脑中了这个病毒,正常的realplayer被替换,偷偷在后台执行病毒,还有word,winrar等常用软件被感染,无法执行.目前没有治愈灵丹,只有重新安装系统


@echo off
cls
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a

====================================================================================
>>>>>>免疫批处理


echo off
cls
echo.
echo logo1_.exe 免疫程式 请先替换"administrator"为您的当前用户名!再执行该批处理。
echo administrator 原创,转载请注册出处bbs.wglm.net
pause
echo administrator > %systemroot%\Logo1_.exe
echo administrator >> %systemroot%\rundl132.exe
echo administrator >> %systemroot%\0Sy.exe
echo administrator >> %systemroot%\vDll.dll
echo administrator >> %systemroot%\1Sy.exe
echo administrator >> %systemroot%\2Sy.exe
echo administrator >> %systemroot%\rundll32.exe
echo administrator >> %systemroot%\3Sy.exe
echo administrator >> %systemroot%\5Sy.exe
echo administrator >> %systemroot%\1.com
echo administrator >> %systemroot%\exerouter.exe
echo administrator >> %systemroot%\EXP10RER.com
echo administrator >> %systemroot%\finders.com
echo administrator >> %systemroot%\Shell.sys
echo administrator >> %systemroot%\smss.exe
Cacls %systemroot%\Logo1_.exe /t /c /e /d administrator
Cacls %systemroot%\rundl132.exe /t /c /e /d administrator
Cacls %systemroot%\0Sy.exe /t /c /e /d administrator
Cacls %systemroot%\vDll.dll /t /c /e /d administrator
Cacls %systemroot%\1Sy.exe /t /c /e /d administrator
Cacls %systemroot%\2Sy.exe /t /c /e /d administrator
Cacls %systemroot%\rundll32.exe /t /c /e /d administrator
Cacls %systemroot%\3Sy.exe /t /c /e /d administrator
Cacls %systemroot%\5Sy.exe /t /c /e /d administrator
Cacls %systemroot%\1.com /t /c /e /d administrator
Cacls %systemroot%\exerouter.exe /t /c /e /d administrator
Cacls %systemroot%\EXP10RER.com /t /c /e /d administrator
Cacls %systemroot%\finders.com /t /c /e /d administrator
Cacls %systemroot%\Shell.sys /t /c /e /d administrator
Cacls %systemroot%\smss.exe /t /c /e /d administrator
cls
echo 恭喜免疫完成 by bbs.wglm.net administrator 原创
pause



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-11-18 02:56 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

这只毒虽然不强 卡巴就能完全清除病毒
但因为爱玩 结果导致整台电脑近2000G 的资料 全遭到感染
害我花了一星期时间在清除 还有几个档案因为无法解毒 而必须选择删除的选项
所以那些被删除的档案 就会造成某些软体会出错或无法使用
真的是损失不小 不过还好目前都已经清除干净


爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾 和信超媒体宽带网 | Posted:2006-11-18 03:00 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054672 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言