威金
威金
威金指的是病毒威金蠕蟲,威金蠕蟲感染Windows可執行文件,並會查找區域網中所有的共享計算機,嘗試猜解它們的密碼,試圖感染這些計算機。該病毒還會自動在後台下載並運行“西遊木馬”等,竊取網路遊戲玩家的賬號和密碼併發送給黑客。同時,該病毒還會下載一個QQ病毒,自動向用戶的QQ好友發送內容為“看看啊。我最近的照片~才掃描到QQ相冊上的!”的消息並附帶一個網址,其他用戶點擊消息中的網址就可能被病毒感染。
不要隨便登錄通過QQ、MSN等即時通信工具發來的網站地址,登錄前要向對方確認,如果對方沒有回復則極有可能是病毒自動發送的。另外,平時一定要將殺毒軟體的監控功能打開,以防範此類病毒。威金Worm.Viking病毒分析及處理
1.中毒后所有.exe執行文件均發生異常;
2.中毒后系統分區生成很多垃圾文件;
3.中毒后網路共享印表機生成“遠程下層文檔”異常隊列;
4.中毒后網路共享印表機自動列印內容為一行日期的空白頁面;
5.在所有文件夾下生成純文件_desktop.ini,內容為一行日期;
6.生成病毒文件
a) Program Files\svhost32.exe
b) Program Files\microsoft\svhost32.exe
c) Windows\explorer.exe
d) windows\logo1_exe
e) windows\rundll32.exe
f) windows\rundl132.exe
g) windows\intel\rundl132.exe
h) windows\dll.dll
受影響的系統:
傳播途徑:
掃描administrator和guest帳號口令為空的計算機,並通過共享迅速傳播。
病毒查殺:
處理步驟:
1.禁用系統還原,並刪除相關備份文件;
2.在安全模式下,使用已更新的Mcafee和Ewido掃描並查殺全盤;
3.對被破壞的exe文件,使用Logkill嘗試修復;
4.為administrator和guest帳號設置非弱口令。
威金Worm.Viking病毒查殺及手工免疫
(以下描述可能對有經驗的讀者略顯煩瑣,請選擇跳過或略讀。)
第一步:安裝Ewido v4.0.172
1.解壓縮Ewido v4.0.172 綠色漢化版.rar;
2.執行並安裝ewidoantispyware400172.exe;
3.執行並漢化ewidoantispyware400172yywj_v2_kaci.exe;
4.激活並註冊,註冊碼70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY
請參考“使用說明.txt”。
第二步:升級Ewido v4.0.172
打開Ewido主程序,選擇第二個標籤“更新”,點擊“開始更新”,待更新完成。
第三步:使用Ewido掃描系統
打開Ewido主程序,選擇第三個標籤“掃描器”,進行“完整系統掃描”,待掃描完成。
第四步:進行威金病毒手工免疫
1.使系統顯示隱藏文件
打開“我的電腦”;依次打開菜單“工具”->“文件夾選項”;然後在彈出的“文件夾選項”對話框中切換到“查看”頁;去掉“隱藏受保護的操作系統文件(推薦)"前面的對鉤,讓它變為不選狀態;在下面的“高級設置”列表框中改變“不顯示隱藏的文件和文件夾”選項為“顯示所有文件和文件夾”選項;去掉“隱藏已知文件類型的擴展名”前面的對鉤,也讓它變為不選狀態。最後“確定”完成即可。
2. 製作病毒免疫文件
A.進入C:\WINDOWS目錄,新建3個文件"logo1_.exe"、"rundl132.exe"、"vdll.dll";
B.依次右鍵單擊新創建的文件,選擇“屬性”,進入“安全”標籤頁;
C.點擊“高級”選項;
D.在“高級安全設置”中取消“從父項繼承那些可以應用到子對象的許可權項目,包括那些在此明確定義的項目”;
E.在彈出的對話框中選擇“刪除”;
F.在返回的窗口中部單擊“添加”按鍵;
G.在“輸入對象名稱來選擇”文本框中輸入 everyone,確定;
H.賦予全部拒絕許可權;
I.按照上述方法再次添加“SYSTEM”,並賦予全部拒絕許可權;
J.確定完成即可。
K.按照上述方法將"logo1_.exe"、"rundl132.exe"、"vdll.dll"三個新建文件全部賦予everyone和SYSTEM的拒絕許可權;
L.完成免疫。
相關技術分析
(以下部分摘自趨勢科技病毒知識庫)
到達、植入及自啟動技術
在運行時,病毒會在 Windows文件夾中生成一個 PE_LOOKED.BF-O的拷貝 RUNDL132.EXE,然後將其運行。病毒同樣會生成一個 .DLL文件,然後將其注入到 IEXPLORER.EXE進程中。趨勢將這個 .DLL文件檢測為 TROJ_LOOKED.BF。這個木馬負責實現傳播感染文件的目的。
在Windows 98和ME系統中,為使自身可以在每次系統啟動時自動運行,病毒添加如下的註冊表項目:
引用內容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Current Version\Run
Load = "%Windows%\rundl132.exe"
(注意: %Windows% 是Windows文件夾,通常就是C:\Windows或C:\WINNT。)
在基於Windows NT(Windows NT, 2000, XP和Server 2003)的系統中,為使自身可以在每次系統啟動時自動運行,病毒修改如下的註冊表項目:
引用內容
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows
Load = "%Windows%\rundl132.exe"
(注意: 該鍵值默認值為 Load = "".)
作為自啟動的一部分,病毒創建如下註冊表鍵值:
引用內容
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
Auto = "1"
通過網路共享進行傳播
這個文件感染型病毒可以通過網路共享進行傳播。病毒會使用用戶名為 administrator 和 guest,口令為空的賬戶信息,嘗試登錄如下網路共享,成功登錄後會在共享中生成自身拷貝。
ADMIN$ 、IPC$
文件感染
該病毒會搜索C到Z盤中的所有EXE文件,找到文件后將病毒代碼前綴至文件中。但是,病毒會避免感染含有如下字元串的文件:
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN Gaming Zone
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
WindowsUpdate
winnt
進程終止
該病毒會尋找如下與安全有關的如下進程,找到後會將其終止:
MCSHIELD.EXE、REGSVC.EXE
病毒還會終止名為 Kingsoft Antivirus 的服務。
其他細節
該病毒會在其遍歷過的每個文件夾中生成一個名為“ _DESKTOP.INI”的非惡意純文本文件。這個文本文件中包含病毒感染日期。
如何恢復被威金感染的exe文件
首先我們使用殺毒軟體以及專殺工具查殺威金病毒,但千萬要注意的是,對於感染的.exe文件不要選擇刪除,隔離即可。
然後,在Windows目錄下建立一個空文件,文件名為logo1_.exe,文件屬性設置成“只讀、隱藏、系統屬性”。按照此方法,還需建立rundl123.exe、logo_1.exe以及Sy0.exe~Sy9.exe等文件。
接著,拔掉網線,斷開網路,暫時關閉病毒防護。還原被隔離的.exe文件,點擊運行。這時被感染的.exe文件就會脫殼,logo1_.exe以及rundl123.exe等會被釋放。用最新的專殺對這個.exe文件檢測一遍,然後把它放入RAR壓縮包里。在RAR中的.exe文件不會感染,在RAR中運行這個程序也沒問題。
注意,在使用超級兔子等軟體時一定不能清理自己創建的那幾個文件。否則,病毒將再次開始活動。
最後,再次全面查殺,保證內部無毒。
此方法,只推薦給專業人士參考,不要輕易操作,以免發生嚴重後果
另外,推薦使用專業工具進行恢復。那就是使用威金病毒全盤修復工具。
功能描述
專門針對感染可執行文件(.exe)的威金病毒全盤修復工具,可以對已被vikin感染的文件進行修復!點這裡下載威金全盤修復工具!
使用說明
將ArFix.rar 下載到本地解壓縮(請不要在壓縮包中運行,不然特徵庫可能無法保存)
運行ArFix.exe
添加樣本-〉選擇一個病毒文件或者一個被病毒感染的文件(如某些圖標有變化的文件,有時需要添加病毒母體才能殺乾淨)!
顯示病毒可能是個正常文件時,說明這不是個被感染的程序,可能是病毒母體,這種無法修復,只能刪除!(文件選擇錯誤,會刪除掉正常的程序)
顯示為被感染的可執行程序時,說明這個被感染了,可以修復!
添加到特徵庫后,會看到支持的變種數量增加了!
進行全盤查殺!
您可以通過登陸windows清理助手網站了解更多關於軟體工具使用和系統安全知識!
官方下載本工具:http://www.arswp.com/ARFix.html