| 词条 | 威金(维京)病毒 |
| 释义 | § 概述 什么是威金(维京)病毒:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。 运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。 § 方式 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、病毒运行后将自身复制到Windows文件夹下,文件名为: %SystemRoot%rundl132.exe 2、运行被感染的文件后,病毒将病毒体复制到为以下文件: %SystemRoot%logo_1.exe 3、同时病毒会在病毒文件夹下生成: 病毒目录vdll.dll 4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成: _desktop.ini (文件属性:系统、隐藏。) 5、病毒会尝试修改%SysRoot%system32driversetchosts文件。 6、病毒通过添加如下注册表项实现病毒开机自动运行: 【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】 "load"="C:WINNTrundl132.exe" 【HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows】 "load"="C:WINNTrundl132.exe" 主要通过QQ、网页木马感染,中毒后,病毒通过寻找网络中管理员电脑密码为空的电脑传播;自动关闭瑞星监控;感染正在运行的软件;禁止部分软件运行;如PROE2001会打不开;最可恶是的rundl132.exe会自动向打印机发送打印指令,浪费纸张,修改IE主页;打开QQ会发送上面的垃圾地址,十分讨厌。经分析以上进程和IEXPLORE.EXE进程绑定,还和Task Scheduler服务绑定在指定的时间运行,传播2K系统.XP,2003没发现传播; 1、病毒运行后,在%Windir%生成?Logo1_.exe?同时会在windws根目录生成一个名为?%WinDir%\\virDll.dll ??? 2、该蠕虫会在系统注册表中生成如下键值: 【HKEY_LOCAL_MACHINE\\Software\\Soft\\DownloadWWW】盗取密码 ??? 病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。 ??? 3、阻止以下杀毒软件的运行 ??? 病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。?包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。 ??? 国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。 ??? 蠕虫会从内存中删除下面列出的进程:? EGHOST.EXE? IPARMOR.EXE KAVPFW.EXE? KWatchUI.EXE MAILMON.EXE? Ravmon.exe? ZoneAlarm ??? 4、通过写入文本信息改变病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。 ??? 蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:? Program?Files? Common?Files? ComPlus?Applications? Documents?and?Settings? NetMeeting? Outlook?Express? Recycled? system? System?Volume?Information? system32? windows? Windows?Media?Player? Windows?NT? WindowsUpdate? winnt ??? 5、该蠕虫是一个大小为82K的Windows?PE可执行文件。 ??? 6、通过本地网络传播,该蠕虫会将自己复制到下面网络资源: ADMIN$? IPC$ ???? 网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装rising、SkyNet、Symantec、McAfee、Gate、Rfw.exe、RavMon.exe、kill?NAV等杀毒软件都无法补救你的系统,病毒文件Logo1_.exe为主体病毒,他自动生成病毒发作所需要的的SWS32.DLL?SWS.DLLL?KILL.EXE等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE等系统核心进程及所以.exe的可执行文件,外观典型表现症状为?传奇?,泡泡堂,等游戏图标变色。?此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。 ???? 该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe?进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。 ???? 病毒发作会生成另外病毒PWSteal.Lemir.Gen和trojan.psw.lineage等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在WIN98平台下,改病毒威害比较小。在WIN2000?/XP/2003?平台对于网吧系统是致命的 ???? 运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE程序全部都感染了,最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。 病毒文件: 1SY.exe ? 2sy.exe 3sy.exe 4sy.exe ? 5sy.exe 0sy.exe viDLL.exe ? cmd.exe ? svhost32.exe ? rundl132.exe(注意最后一个是1不是字母) bootconf.exe svchs0t.exe(注意数字0) winxp.exe ? a.exe |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。