威金病毒
威金病毒
近期有一個名為“威金蠕蟲變種DR(Worm.Viking.dr)”的病毒正在網際網路上肆虐。該病毒集文件型病毒、蠕蟲病毒、病毒下載器於一身,傳播能力非常強。該病毒會破壞用戶的一些軟體,造成它們無法使用。“威金蠕蟲”是一個能在WIN9X/NT/2000/XP系統上運行的蠕蟲病毒,通過感染文件、區域網以及其他病毒下載傳播。該病毒還會自動在後台下載並運行“QQ通行證”等其他病毒,竊取用戶QQ及網路遊戲的賬號和密碼併發送給黑客。由於該病毒在編寫上存在一些問題,可造成一些用戶的軟體被破壞,無法使用。
1、病毒運行后將自身複製到Windows文件夾下,文件名為:
%SystemRoot%\rundl132.exe
2、運行被感染的文件后,病毒將病毒體複製到為以下文件:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini(文件屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序,查找到窗體后發送消息關閉該程序。
8、枚舉以下殺毒軟體進程名,查找到后終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:
net stop "Kingsoft AntiVirus Service"
10、發送ICMP探測數據"Hello,World",判斷網路狀態,網路可用時,枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網路感染。
11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程后隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並運行相關程序:
http://www.17**.com/gua/zt.txt 保存為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt 保存為:c:\1.txt
http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
註:三個程序都為木馬程序
14、病毒會將下載后的"1.txt"的內容添加到以下相關註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
15、威金病毒變種類型
Worm/Viking.aof//病毒類型:蠕蟲
I-Worm/Warezov.fl//病毒類型:蠕蟲
Worm.Xiazaizhe.a //病毒類型:蠕蟲
Worm.Viking.ss //病毒類型:蠕蟲
Trojan/DDos.Agent.r//病毒類型:木馬
setup.exe病毒(Worm.Viking)
網上衝浪,就比較容易中logo1_exerundl132.exe(仔細在任務管理器中可以找到.)
既然是通過網路傳播,就有傳播的埠,可以考慮在網路設備上增加ACL,進行訪問控制。在邊界防火牆上增加相關的埠屏蔽策略.
因其有主機感染的特點,更要加強網路版防毒軟體終端系統的更新和及時查殺。
另外,防火牆除了屏蔽傳播埠外,一般對病毒的基本無控制能力,而很多病毒(除了移動存儲設備)均來自於網路中,邊界的防毒,垃圾郵件,帶毒郵件的威脅需要用戶重視。可以採用例如DCFW-1800E-UTM統一威脅管理設備。進行防毒 防垃圾郵件的安全控制.
另外瑞星升級到最新版本也能清除該病毒,建議先手動刪除然後在用瑞星掃描全盤。
維金病毒的泛濫愈演愈烈,10月份發布了幾個專殺工具幫助千百萬計的用戶脫離苦海,近日又接到了很多用戶發來的維金病毒報告郵件,沒想到這個病毒比原來更猖獗了。原來的工具源碼在一次意外中丟失,這次又狠下心重新編寫了,也加入了最新的維金病毒特徵碼。請有需要的廣大的用戶下載使用,更希望能把在使用時發現的問題反饋給我們,或到下面的"支持博客"中留言.
該工具可以有效解除被感染的exe中的病毒並還原exe文件,網上的大部分工具是直接刪除exe文件。另外,本工具還具有Viking免疫功能。
下載后直接運行即可查殺,如果查殺幾次都有無法關閉的進程的,重新啟動一下計算機繼續查殺應該可以殺掉。直到病毒數為0時為止。如果配合PlanTasks程序可發揮更大威力。
特別推薦
CHENOE Anti-Virus Tools維金專殺(民間版 魏滔序)
有用戶反應該病毒變種可抑制瑞星和卡巴斯基等主流殺毒軟體的啟動,在此前提下可安裝這個民間版,軟體不到一兆,在系統遲緩的前提下可輕鬆運行,相信對中此病毒的朋友能夠有所幫助。
該病毒會在每個文件夾中生成一個名為_desktop.ini的文件,一個個去刪除,顯然太費勁,(我的機器的操作系統因安裝在NTFS格式下,所以系統盤下的文件夾中沒有這個文件,另外盤下的文件夾無一倖免),因此在這裡介紹給大家一個批處理命令 del d:\_desktop.ini /f/s/q/a,該命令的作用是:強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除/f 強制刪除只讀文件
/q 指定靜音狀態。不提示您確認刪除。/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。/a的意思是按照屬性來刪除了這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini文件用的使用方法是開始--所有程序--附件--命令提示符,鍵入上述命令(也可複製粘貼),首先刪除D盤中的_desktop.ini,然後依此刪除另外盤中的_desktop.ini。至此,該病毒對機器造成的影響全部消除。覺得有用的朋友們拿去試試吧
方法A
一、重啟,並進安全模式。
二、殺毒
1、顯示隱藏文件:
打開“我的電腦”——工具——文件夾選項——查看
a、把“隱藏受保護的操作系統文件(推薦)”和“隱藏已知文件類型的擴展名”前面的勾去掉;
b、勾中“顯示所有文件和文件夾”
2、在系統安裝文件夾內<;一般是C:\WINDOWS和C:\WINDOWS\system32>/用搜索找到你所中病毒<;比如找logo_1.exe rundl132.exe> 完全刪除之 然後都建立名為"logo1_.exe"、"rundl132.exe"的空文件夾/並把屬性設為“只讀”,這樣病毒也就無法運行了。
3、在所有的硬碟中刪除_desktop.ini。
4、清空IE瀏覽產生的垃圾和記錄文件。
<3/4其實可以不用做。不過為了更加完善 清理垃圾文件也是不錯的。>
--------------------手工清理辦法結束--------------------
方法B
⒈同時按下CTRL,ALT,DEL三鍵打開任務管理器,結束病毒<;比如logo1_.exe>;進程.
2同樣需要刪除操作系統盤(一般是C盤)winnt目錄下的logo1_.exe文件.
⒊運行gpedit.msc打開組策略,依次單擊用戶配置- 管理模塊- 系統-指定不給windows運行的程序,點啟用 然後 點顯示 添加病毒的源文件< 比如logo1_exe>;。
⒋把默認共享關閉,給ADMINISTRATOR 組所有成員設置密碼。防止病毒重新感染。<;呵呵。說到這裡。紳博的朋友們 你們是不是個人電腦都有密碼呢 不要以為不設密碼就表示你大方。其實這樣也給病毒很多機會了。所以電腦還是應該要設置個簡單密碼的。這裡不就有作用拉~>.
--------------------手工清理辦法結束--------------------
<;說明:以上兩方法任意選一都可行。原理:前面是安全模式下病毒沒運行所以直接刪。再禁。後面是中毒情況下關閉進程。然後強刪,再禁。最終效果是一樣的。>
五、推薦使用威金病毒全盤修復工具
功能描述
專門針對感染可執行文件(.exe)的威金病毒全盤修復工具,可以對已被vikin感染的文件進行修復!點這裡下載威金全盤修復工具!
將ArFix.rar 下載到本地解壓縮(請不要在壓縮包中運行,不然特徵庫可能無法保存)
運行ArFix.exe
添加樣本-〉選擇一個病毒文件或者一個被病毒感染的文件(如某些圖標有變化的文件,有時需要添加病毒母體才能殺乾淨)!
顯示病毒可能是個正常文件時,說明這不是個被感染的程序,可能是病毒母體,這種無法修復,只能刪除!(文件選擇錯誤,會刪除掉正常的程序)
顯示為被感染的可執行程序時,說明這個被感染了,可以修復!
添加到特徵庫后,會看到支持的變種數量增加了!
進行全盤查殺!
您可以通過登陸windows清理助手網站了解更多關於軟體工具使用和系統安全知識!
最後 請大家注意 網上有個威金補丁千萬不要下 是後門軟體我機器就中招了 13次系統重裝的代價 都是因為這個補丁 最後壞了一塊120G硬碟(擦寫次數過多)後來一個懂行的朋友幫我查出來的 每次一安裝這個補丁就會在8小時內發作威金 隱蔽性很強 害人啊 很多重要工作數據丟失了 損失無法估量(希望追求刑事責任)