该病毒属蠕虫类，病毒运行后释放病毒文件%WINDDIR%\\rundl132.exe、系统盘根目录\\_desktop.ini、%Program Files%\\_desktop.ini、桌面\\viDll.dll，会在大量文件夹中释放文件_desktop.ini；连接网络，开启端口，下载病毒文件%WINDDIR%\\0sy.exe、%WINDDIR%\\1sy.exe、%WINDDIR%\\2sy.exe；开启进程conime.exe及其自身，注入到进程explorer.exe中，修改注册表，添加启动项，以达到随机启动的目的；感染大部分非系统文件；

病毒标签：

病毒名称： Worm.Win32.Viking.p

病毒类型： 蠕虫

文件 MD5： E939658C090087B08A1CD498F2DB59B3

公开范围： 完全公开

危害等级： 中

文件长度： 1,025,308 字节

感染系统： windows98以上版本

开发工具： Borland Delphi V3.0

加壳类型： Upack 2.4 - 2.9 beta

命名对照： Symentec[W32.Looked.P]

Mcafee[无]

病毒描述：

该病毒属蠕虫类，病毒运行后释放病毒文件%WINDDIR%\\rundl132.exe、系统盘根目录\\_desktop.ini、%Program Files%\\_desktop.ini、桌面\\viDll.dll，会在大量文件夹中释放文件_desktop.ini；连接网络，开启端口，下载病毒文件%WINDDIR%\\0sy.exe、%WINDDIR%\\1sy.exe、%WINDDIR%\\2sy.exe；开启进程conime.exe及其自身，注入到进程explorer.exe中，修改注册表，添加启动项，以达到随机启动的目的；感染大部分非系统文件；病毒把自身加入到要感染的程序，在被感染的程序运行时，病毒也同时运行，但在运行一次后自动释放病毒体，被感染文件也恢复正常，隔段时间后病毒会再次感染此应用程序；病毒尝试终止相关杀病毒软件；病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

行为分析：

1、病毒运行后释放病毒文件：

%WINDDIR%\\rundl132.exe

%Program Files%\\_desktop.ini

桌面\\viDll.dll

系统根目录\\_desktop.ini

系统根目录\\1.txt

系统根目录\\MH_FILE\\MH_DLL.dll

系统根目录\\TODAYZTKING\\TODAYZTKING.dll

会在大量文件夹中释放文件_desktop.ini

2、连接网络，开启端口，下载病毒文件：

协议：TCP

IP：61.152.116.22

本地端口：随机开启本地1024以上端口，如：1156

下载病毒文件：

路径名：

%WINDDIR%\\0sy.exe

%WINDDIR%\\1sy.exe

%WINDDIR%\\2sy.exe

病毒名：

Trojan-PSW.Win32.WOW.ek

Trojan-PSW.Win32.WOW.fq

Trojan-PSW.Win32.WOW.fs

3、开启进程conime.exe及其自身，注入到进程explorer.exe中。

4、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

键值: 字串: "load "="C:\\WINDOWS\\rundl132.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

键值: 字串: "ver_down0"="0.859: Source:C:\\WINDOWS\\system32\\_0000012_.tmp.dll (3.0.3790.218001111)"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

键值: 字串: " ver_down2"="0.859: Source:C:\\WINDOWS\\system32\\_000006_.tmp.dll (3.0.3790.21801)"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\DownloadWWW\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\DownloadWWW\\auto

键值: 字串: "1"

5、感染大部分非系统文件，不感染下列文件夹中的文件：

system

system32

Documents and Settings

System Volume Information

Recycled

windor

Windows NT

WindowsUpdate

Windows Media Player

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

Microsoft Office

InstallShield Installation Information

6、病毒尝试终止相关杀病毒软件。

7、病毒把自己身加入到要感染的程序，在被感染的程序运行时，病毒也同时运行，但在运行

一次后自动释放病毒体，被感染文件也恢复正常，隔段时间后病毒会再次感染此应用程序。

8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%WINDDIR%\\rundl132.exe

%Program Files%\\_desktop.ini

桌面\\viDll.dll

系统根目录\\_desktop.ini

系统根目录\\1.txt

系统根目录\\MH_FILE\\MH_DLL.dll

系统根目录\\TODAYZTKING\\TODAYZTKING.dll

会在大量文件夹中释放文件_desktop.ini

%WINDDIR%\\0sy.exe

%WINDDIR%\\1sy.exe

%WINDDIR%\\2sy.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT

\\CurrentVersion\\Windows

键值: 字串: "load "="C:\\WINDOWS\\rundl132.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

键值: 字串: "ver_down0"="0.859: Source:C:\\WINDOWS\\system32\\_0000012_.tmp.dll (3.0.3790.218001111)"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

键值: 字串: " ver_down2"="0.859: Source:C:\\WINDOWS\\system32\\_000006_.tmp.dll

(3.0.3790.21801)"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\DownloadWWW\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\DownloadWWW\\auto

键值: 字串: "1"