词条 | Worm.Viking.go |
释义 | 病毒简介处理时间:2007-03-27 威胁级别:★★ 中文名称:维金 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为概述这是一个windows平台下的感染型病毒,感染扩展名为.exe的文件,通过局域网传播自身,当外网可用时,会从指定的网址下载其他木马病毒 详细行为1、病毒运行后将自身复制到Windows文件夹下,文件名为: %SystemRoot%\\rundl132.exe 2、运行被感染的文件后,病毒将病毒体复制到为以下文件: %SystemRoot%\\logo_1.exe 3、同时病毒会在病毒文件夹下生成: 病毒目录\\dll.dll 4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成: _desktop.ini (文件属性:系统、隐藏。) 5、病毒会尝试修改%SysRoot%\\system32\\drivers\\etc\\hosts文件。 6、病毒通过添加如下注册表项实现病毒开机自动运行: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "load"="C:\\\\WINNT\\\\rundl132.exe" [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] "load"="C:\\\\WINNT\\\\rundl132.exe" 7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。 8、枚举以下杀毒软件进程名,查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe 9、同时病毒尝试利用以下命令终止相关杀病毒软件: net stop "Kingsoft AntiVirus Service" 10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时, 枚举内网所有共享主机,并尝试用弱口令连接\\\\IPC$、\\admin$等共享目录,连接成功后进行网络感染。 11、枚举系统进程,尝试将病毒dll(dll.dll)选择性注入以下进程名对应的进程: Explorer Iexplore 找到符合条件的进程后随机注入以上两个进程中的其中一个。 12、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序: http://www.513**.com/ma/0.exe http://www.513**.com/ma/1.exe http://www.513**.com/ma/2.exe http://www.513**.com/ma/3.exe http://www.513**.com/ma/4.exe http://www.513**.com/ma/5.exe http://www.513**.com/ma/6.exe http://www.513**.com/ma/7.exe http://www.513**.com/ma/8.exe http://www.513**.com/ma/9.exe |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。