威金指的是病毒威金蠕虫，威金蠕虫感染Windows可执行文件，并会查找局域网中所有的共享计算机，尝试猜解它们的密码，试图感染这些计算机。该病毒还会自动在后台下载并运行“西游木马”等，窃取网络游戏玩家的账号和密码并发送给黑客。同时，该病毒还会下载一个QQ病毒，自动向用户的QQ好友发送内容为“看看啊。我最近的照片～才扫描到QQ相册上的!”的消息并附带一个网址，其他用户点击消息中的网址就可能被病毒感染。

专家建议:

不要随便登录通过QQ、MSN等即时通信工具发来的网站地址，登录前要向对方确认，如果对方没有回复则极有可能是病毒自动发送的。另外，平时一定要将杀毒软件的监控功能打开，以防范此类病毒。威金Worm.Viking病毒分析及处理

现象：

1.中毒后所有.exe执行文件均发生异常；

2.中毒后系统分区生成很多垃圾文件；

3.中毒后网络共享打印机生成“远程下层文档”异常队列；

4.中毒后网络共享打印机自动打印内容为一行日期的空白页面；

5.在所有文件夹下生成纯文件_desktop.ini，内容为一行日期；

6.生成病毒文件

a) Program Files\\svhost32.exe

b) Program Files\\microsoft\\svhost32.exe

c) Windows\\explorer.exe

d) windows\\logo1_exe

e) windows\\rundll32.exe

f) windows\\rundl132.exe

g) windows\\intel\\rundl132.exe

h) windows\\dll.dll

受影响的系统：

Windows 95, 98, ME, NT, 2000, XP_SP2和Server 2003_SP1

传播途径：

扫描administrator和guest帐号口令为空的计算机，并通过共享迅速传播。

病毒查杀：

采用Mcafee + Ewido + Logkill组合查杀；并手工免疫。

处理步骤：

1.禁用系统还原，并删除相关备份文件；

2.在安全模式下，使用已更新的Mcafee和Ewido扫描并查杀全盘；

3.对被破坏的exe文件，使用Logkill尝试修复；

4.为administrator和guest帐号设置非弱口令。

威金Worm.Viking病毒查杀及手工免疫

（以下描述可能对有经验的读者略显烦琐，请选择跳过或略读。）

第一步：安装Ewido v4.0.172

1.解压缩Ewido v4.0.172 绿色汉化版.rar；

2.执行并安装ewidoantispyware400172.exe；

3.执行并汉化ewidoantispyware400172yywj_v2_kaci.exe；

4.激活并注册，注册码70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY

请参考“使用说明.txt”。

第二步：升级Ewido v4.0.172

打开Ewido主程序，选择第二个标签“更新”，点击“开始更新”，待更新完成。

第三步：使用Ewido扫描系统

打开Ewido主程序，选择第三个标签“扫描器”，进行“完整系统扫描”，待扫描完成。

第四步：进行威金病毒手工免疫

1.使系统显示隐藏文件

打开“我的电脑”； 依次打开菜单“工具”->“文件夹选项”；然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)"前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态。最后“确定”完成即可。

2. 制作病毒免疫文件

A.进入C:\\WINDOWS目录，新建3个文件"logo1_.exe"、"rundl132.exe"、"vdll.dll"；

B.依次右键单击新创建的文件，选择“属性”，进入“安全”标签页；

C.点击“高级”选项；

D.在“高级安全设置”中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”；

E.在弹出的对话框中选择“删除”；

F.在返回的窗口中部单击“添加”按键；

G.在“输入对象名称来选择”文本框中输入 everyone，确定；

H.赋予全部拒绝权限；

I.按照上述方法再次添加“SYSTEM”，并赋予全部拒绝权限；

J.确定完成即可。

K.按照上述方法将"logo1_.exe"、"rundl132.exe"、"vdll.dll"三个新建文件全部赋予everyone和SYSTEM的拒绝权限；

L.完成免疫。

相关技术分析

（以下部分摘自趋势科技病毒知识库）

到达、植入及自启动技术

在运行时，病毒会在 Windows文件夹中生成一个 PE_LOOKED.BF-O的拷贝 RUNDL132.EXE，然后将其运行。病毒同样会生成一个 .DLL文件，然后将其注入到 IEXPLORER.EXE进程中。趋势将这个 .DLL文件检测为 TROJ_LOOKED.BF。这个木马负责实现传播感染文件的目的。

在Windows 98和ME系统中，为使自身可以在每次系统启动时自动运行，病毒添加如下的注册表项目：

引用内容

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

Current Version\\Run

Load = "%Windows%\\rundl132.exe"

(注意： %Windows% 是Windows文件夹，通常就是C:\\Windows或C:\\WINNT。)

在基于Windows NT（Windows NT, 2000, XP和Server 2003）的系统中，为使自身可以在每次系统启动时自动运行，病毒修改如下的注册表项目：

引用内容

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\

CurrentVersion\\Windows

Load = "%Windows%\\rundl132.exe"

(注意: 该键值默认值为 Load = "".)

作为自启动的一部分，病毒创建如下注册表键值：

引用内容

HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\DownloadWWW

Auto = "1"

通过网络共享进行传播

这个文件感染型病毒可以通过网络共享进行传播。病毒会使用用户名为 administrator 和 guest，口令为空的账户信息，尝试登录如下网络共享，成功登录后会在共享中生成自身拷贝。

ADMIN$ 、IPC$

文件感染

该病毒会搜索C到Z盘中的所有EXE文件，找到文件后将病毒代码前缀至文件中。但是，病毒会避免感染含有如下字符串的文件：

ComPlus Applications

Documents and Settings

InstallShield Installation Information

Messenger

Microsoft Frontpage

Microsoft Office

Movie Maker

MSN Gaming Zone

NetMeeting

Outlook Express

Recycled

system

System Volume Information

system32

windows

Windows Media Player

WindowsUpdate

winnt

进程终止

该病毒会寻找如下与安全有关的如下进程，找到后会将其终止：

MCSHIELD.EXE、REGSVC.EXE

病毒还会终止名为 Kingsoft Antivirus 的服务。

其他细节

该病毒会在其遍历过的每个文件夹中生成一个名为“ _DESKTOP.INI”的非恶意纯文本文件。这个文本文件中包含病毒感染日期。

---------------------------------------------------------------------------------------------------------------------------------------------

如何恢复被威金感染的exe文件

首先我们使用杀毒软件以及专杀工具查杀威金病毒，但千万要注意的是，对于感染的.exe文件不要选择删除，隔离即可。

然后，在Windows目录下建立一个空文件，文件名为logo1_.exe，文件属性设置成“只读、隐藏、系统属性”。按照此方法，还需建立rundl123.exe、logo_1.exe以及Sy0.exe~Sy9.exe等文件。

接着，拔掉网线，断开网络，暂时关闭病毒防护。还原被隔离的.exe文件，点击运行。这时被感染的.exe文件就会脱壳，logo1_.exe以及rundl123.exe等会被释放。用最新的专杀对这个.exe文件检测一遍，然后把它放入RAR压缩包里。在RAR中的.exe文件不会感染，在RAR中运行这个程序也没问题。

注意，在使用超级兔子等软件时一定不能清理自己创建的那几个文件。否则，病毒将再次开始活动。

最后，再次全面查杀，保证内部无毒。

此方法，只推荐给专业人士参考，不要轻易操作，以免发生严重后果

另外，推荐使用专业工具进行恢复。那就是使用威金病毒全盘修复工具。

功能描述

专门针对感染可执行文件（.exe）的威金病毒全盘修复工具，可以对已被vikin感染的文件进行修复！点这里下载威金全盘修复工具！

使用说明

将ArFix.rar 下载到本地解压缩（请不要在压缩包中运行，不然特征库可能无法保存）

运行ArFix.exe

添加样本-〉选择一个病毒文件或者一个被病毒感染的文件（如某些图标有变化的文件,有时需要添加病毒母体才能杀干净）！

显示病毒可能是个正常文件时，说明这不是个被感染的程序，可能是病毒母体，这种无法修复，只能删除！（文件选择错误，会删除掉正常的程序）

显示为被感染的可执行程序时，说明这个被感染了，可以修复！

添加到特征库后，会看到支持的变种数量增加了！

进行全盘查杀！

您可以通过登陆windows清理助手网站了解更多关于软件工具使用和系统安全知识！

官方下载本工具：http://www.arswp.com/ARFix.html