请输入您要查询的百科知识:

 

词条 威金病毒
释义

近期有一个名为“威金蠕虫变种DR(Worm.Viking.dr)”的病毒正在互联网上肆虐。该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力非常强。该病毒会破坏用户的一些软件,造成它们无法使用。“威金蠕虫”是一个能在WIN9X/NT/2000/XP系统上运行的蠕虫病毒,通过感染文件、局域网以及其他病毒下载传播。该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒,窃取用户QQ及网络游戏的账号和密码并发送给黑客。由于该病毒在编写上存在一些问题,可造成一些用户的软件被破坏,无法使用。

病毒特征

1、病毒运行后将自身复制到Windows文件夹下,文件名为:

%SystemRoot%\\rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:

%SystemRoot%\\logo_1.exe

3、同时病毒会在病毒文件夹下生成:

病毒目录\\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:

_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\\system32\\drivers\\etc\\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"load"="C:\\\\WINNT\\\\rundl132.exe"

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"load"="C:\\\\WINNT\\\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名,查找到后终止其进程:

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件:

net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\\\\IPC$、\\admin$等共享目录,连接成功后进行网络感染。

11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:

system

system32

windows

Documents and settings

system Volume Information

Recycled

winnt

Program Files

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

Microsoft Office

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:

Explorer

Iexplore

找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:

http://www.17**.com/gua/zt.txt 保存为:c:\\1.txt

http://www.17**.com/gua/wow.txt 保存为:c:\\1.txt

http://www.17**.com/gua/mx.txt 保存为:c:\\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\\0Sy.exe

http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\\1Sy.exe

http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\\2Sy.exe

注:三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\DownloadWWW]

"auto"="1"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows]

"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\+++++++++++++++++++++++"

"ver_down1"="[boot loader]

timeout=30

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\\\\WINDOWS=\\"Microsoft Windows XP Professional\\" ////"

"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\\\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\\\\WINDOWS=\\"Microsoft Windows XP Professional\\" /////"

15、威金病毒变种类型

Worm/Viking.aof //病毒类型:蠕虫

I-Worm/Warezov.fl //病毒类型:蠕虫

Worm.Xiazaizhe.a //病毒类型:蠕虫

Worm.Viking.ss //病毒类型:蠕虫

Trojan/DDos.Agent.r //病毒类型:木马

setup.exe病毒 (Worm.Viking)

网上冲浪,就比较容易中logo1_exe rundl132.exe (仔细在任务管理器中可以找到.)

既然是通过网络传播,就有传播的端口,可以考虑在网络设备上增加ACL,进行访问控制.在边界防火墙上增加相关的端口屏蔽策略.

因其有主机感染的特点,更要加强网络版防毒软件终端系统的更新和及时查杀。

另外,防火墙除了屏蔽传播端口外,一般对病毒的基本无控制能力,而很多病毒(除了移动存储设备)均来自于网络中,边界的防毒,垃圾邮件,带毒邮件的威胁需要用户重视.可以采用例如DCFW-1800E-UTM统一威胁管理设备.进行防毒 防垃圾邮件的安全控制.

专杀工具

另外瑞星升级到最新版本也能清除该病毒,建议先手动删除然后在用瑞星扫描全盘。

特别推荐

CHENOE Anti-Virus Tools 维金专杀 (民间版 魏滔序)

有用户反应该病毒变种可抑制瑞星和卡巴斯基等主流杀毒软件的启动,在此前提下可安装这个民间版,软件不到一兆,在系统迟缓的前提下可轻松运行,相信对中此病毒的朋友能够有所帮助。

软件简介

维金病毒的泛滥愈演愈烈,10月份发布了几个专杀工具帮助千百万计的用户脱离苦海,近日又接到了很多用户发来的维金病毒报告邮件,没想到这个病毒比原来更猖獗了.原来的工具源码在一次意外中丢失,这次又狠下心重新编写了,也加入了最新的维金病毒特征码.请有需要的广大的用户下载使用,更希望能把在使用时发现的问题反馈给我们,或到下面的"支持博客"中留言.

该工具可以有效解除被感染的exe中的病毒并还原exe文件,网上的大部分工具是直接删除exe文件。另外,本工具还具有Viking免疫功能。

下载后直接运行即可查杀,如果查杀几次都有无法关闭的进程的,重新启动一下计算机继续查杀应该可以杀掉。直到病毒数为0时为止。如果配合PlanTasks程序可发挥更大威力。

删除_desktop.ini

该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统盘下的文件夹中没有这个文件,另外盘下的文件夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:\\_desktop.ini /f/s/q/a,该命令的作用是:强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除/f 强制删除只读文件

/q 指定静音状态。不提示您确认删除。/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。/a的意思是按照属性来删除了这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的使用方法是开始--所有程序--附件--命令提示符,键入上述命令(也可复制粘贴),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。至此,该病毒对机器造成的影响全部消除。觉得有用的朋友们拿去试试吧

手动清除和免疫方法

方法A

一、重启,并进安全模式。

二、杀毒

1、显示隐藏文件:

打开“我的电脑”——工具——文件夹选项——查看

a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;

b、勾中“显示所有文件和文件夹”

2、在系统安装文件夹内<一般是C:\\WINDOWS和C:\\WINDOWS\\system32>/用搜索找到你所中病毒<比如找logo_1.exe rundl132.exe> 完全删除之 然后都建立名为"logo1_.exe"、"rundl132.exe"的空文件夹/并把属性设为“只读”,这样病毒也就无法运行了。

3、在所有的硬盘中删除_desktop.ini。

4、清空IE浏览产生的垃圾和记录文件。<C:\\Documents and Settings\\用户名\\Local Settings和Temporary Internet Files 下所有文件都可删除。>

<3/4其实可以不用做。不过为了更加完善 清理垃圾文件也是不错的。>

--------------------手工清理办法结束--------------------

方法B

1.同时按下CTRL,ALT,DEL三键打开任务管理器,结束病毒<比如logo1_.exe>进程.

2同样需要删除操作系统盘(一般是C盘)winnt目录下的logo1_.exe文件.

3.运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 病毒的源文件< 比如logo1_exe>。

4.把默认共享关闭,给ADMINISTRATOR 组所有成员设置密码。防止病毒重新感染。<呵呵。说到这里。。绅博的朋友们 你们是不是个人电脑都有密码呢 不要以为不设密码就表示你大方。。其实这样也给病毒很多机会了。。所以电脑还是应该要设置个简单密码的。这里不就有作用拉~>.

--------------------手工清理办法结束--------------------

<说明:以上两方法任意选一都可行。原理:前面是安全模式下病毒没运行所以直接删。再禁。后面是中毒情况下关闭进程。然后强删,再禁。 最终效果是一样的。>

五、推荐使用威金病毒全盘修复工具

功能描述

专门针对感染可执行文件(.exe)的威金病毒全盘修复工具,可以对已被vikin感染的文件进行修复!点这里下载威金全盘修复工具!

使用说明

将ArFix.rar 下载到本地解压缩(请不要在压缩包中运行,不然特征库可能无法保存)

运行ArFix.exe

添加样本-〉选择一个病毒文件或者一个被病毒感染的文件(如某些图标有变化的文件,有时需要添加病毒母体才能杀干净)!

显示病毒可能是个正常文件时,说明这不是个被感染的程序,可能是病毒母体,这种无法修复,只能删除!(文件选择错误,会删除掉正常的程序)

显示为被感染的可执行程序时,说明这个被感染了,可以修复!

添加到特征库后,会看到支持的变种数量增加了!

进行全盘查杀!

您可以通过登陆windows清理助手网站了解更多关于软件工具使用和系统安全知识!

最后 请大家注意 网上有个威金补丁千万不要下 是后门软件 我机器就中招了 13次系统重装的代价 都是因为这个补丁 最后坏了一块120G硬盘(擦写次数过多) 后来一个懂行的朋友帮我查出来的 每次一安装这个补丁就会在8小时内发作威金 隐蔽性很强 害人啊 很多重要工作数据丢失了 损失无法估量 (希望追求刑事责任)

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/11/16 9:54:39