请输入您要查询的百科知识:

 

词条 Worm.Viking.go
释义

病毒简介

处理时间:2007-03-27

威胁级别:★★

中文名称:维金

病毒类型:蠕虫

影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为

概述

这是一个windows平台下的感染型病毒,感染扩展名为.exe的文件,通过局域网传播自身,当外网可用时,会从指定的网址下载其他木马病毒

详细行为

1、病毒运行后将自身复制到Windows文件夹下,文件名为:

%SystemRoot%\\rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:

%SystemRoot%\\logo_1.exe

3、同时病毒会在病毒文件夹下生成:

病毒目录\\dll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:

_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\\system32\\drivers\\etc\\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"load"="C:\\\\WINNT\\\\rundl132.exe"

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"load"="C:\\\\WINNT\\\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名,查找到后终止其进程:

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件:

net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,

枚举内网所有共享主机,并尝试用弱口令连接\\\\IPC$、\\admin$等共享目录,连接成功后进行网络感染。

11、枚举系统进程,尝试将病毒dll(dll.dll)选择性注入以下进程名对应的进程:

Explorer

Iexplore

找到符合条件的进程后随机注入以上两个进程中的其中一个。

12、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:

http://www.513**.com/ma/0.exe

http://www.513**.com/ma/1.exe

http://www.513**.com/ma/2.exe

http://www.513**.com/ma/3.exe

http://www.513**.com/ma/4.exe

http://www.513**.com/ma/5.exe

http://www.513**.com/ma/6.exe

http://www.513**.com/ma/7.exe

http://www.513**.com/ma/8.exe

http://www.513**.com/ma/9.exe

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 9:43:39