概述
什麼是威金(維京)病毒:該病毒為Windows平台下集成執行檔感染、網路感染、下載網路木馬或其它病毒的複合型病毒,病毒運行後將自身偽裝成系統正常檔案,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過執行緒注入技術繞過防火牆的監視,連線到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉區域網路的所有可用共享,並嘗試通過弱口令方式連線感染目標計算機。
運行過程過感染用戶機器上的執行檔,造成用戶機器運行速度變慢,破壞用戶機器的執行檔,給用戶安全性構成危害。
方式
病毒主要通過已分享資料夾、檔案捆綁、運行被感染病毒的程式、可帶病毒的郵件附屬檔案等方式進行傳播。
1、病毒運行後將自身複製到Windows資料夾下,檔案名稱為:
%SystemRoot%rundl132.exe
2、運行被感染的檔案後,病毒將病毒體複製到為以下檔案:
%SystemRoot%logo_1.exe
3、同時病毒會在病毒資料夾下生成:
病毒目錄vdll.dll
4、病毒從Z盤開始向前搜尋所有可用分區中的exe檔案,然後感染所有大小27kb-10mb的執行檔,感染完畢在被感染的資料夾中生成:
_desktop.ini (檔案屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%system32driversetchosts檔案。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun】
"load"="C:WINNTrundl132.exe"
【HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows】
"load"="C:WINNTrundl132.exe"
主要通過QQ、網頁木馬感染,中毒後,病毒通過尋找網路中管理員電腦密碼為空的電腦傳播;自動關閉瑞星監控;感染正在運行的軟體;禁止部分軟體運行;如ProE2001會打不開;最可惡是的rundl132.exe會自動向印表機傳送列印指令,浪費紙張,修改IE主頁;打開QQ會傳送上面的垃圾地址,十分討厭。經分析以上進程和Iexplore.exe進程綁定,還和Task Scheduler服務綁定在指定的時間運行,傳播2K系統.XP,2003沒發現傳播;
1、病毒運行後,在%Windir%生成?logo1_.exe?同時會在windws根目錄生成一個名為?%WinDir%\virDll.dll
??? 2、該蠕蟲會在系統註冊表中生成如下鍵值:
【HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW】盜取密碼
??? 病毒試圖登入並盜取被感染計算機中網路遊戲傳奇2的密碼,將遊戲密碼傳送到該木馬病毒的植入者手中。
??? 3、阻止以下防毒軟體的運行
??? 病毒試圖終止包含下列進程的運行,這些多為防毒軟體的進程。?包括卡八斯基,金山公司的毒霸。瑞星等。98%的防毒軟體運行。
??? 國產軟體在中毒後都被病毒殺死,是病毒殺掉-防毒軟體。如金山,瑞星等。哪些軟體可以認出病毒。但是認出後不久就陣亡了。
??? 蠕蟲會從記憶體中刪除下面列出的進程:?
EGHOST.EXE?
iparmor.exe
kavpfw.exe?
KWatchUI.EXE
MAILMON.EXE?
Ravmon.exe?
ZoneAlarm
??? 4、通過寫入文本信息改變病毒感染運行windows作業系統的計算機,並且通過開放的網路資源傳播。一旦安裝,蠕蟲將會感染受感染計算機中的.exe檔案。
??? 蠕蟲會感染所有.exe的檔案。但是,它不會感染路徑中包含下列字元串的檔案:?
Program?Files?
Common?Files?
ComPlus?Applications?
Documents?and?Settings?
NetMeeting?
Outlook?Express?
Recycled?
system?
System?Volume?Information?
system32?
windows?
Windows?Media?Player?
Windows?NT?
WindowsUpdate?
winnt
??? 5、該蠕蟲是一個大小為82K的Windows?PE執行檔。
??? 6、通過本地網路傳播,該蠕蟲會將自己複製到下面網路資源:
ADMIN$?
IPC$
???? 網咖遭此病毒破壞造成大面積的卡機,癱瘓。危害程度可以和世界排名前十的愛情後門變種相比。該病毒可以通過網路傳播,傳播周期為3分鐘。如果是新做的系統處於中了毒的網路環境內,只要那個機器一上網,3分鐘內必定中招。中招後你安裝rising、SkyNet、Symantec、McAfee、Gate、Rfw.exe、RavMon.exe、kill?NAV等防毒軟體都無法補救你的系統,病毒檔案Logo1_.exe為主體病毒,他自動生成病毒發作所需要的的SWS32.DLL?SWS.DLLL?KILL.EXE等檔案。這些檔案一但衍生。他將迅速感染系統內EXPLORE等系統核心進程及所以.exe的執行檔,外觀典型表現症狀為?傳奇?,泡泡堂,等遊戲圖示變色。?此時系統資源可用率極低,你每重新啟動一次,病毒就會發作一次。
???? 該病毒對於防範意識較弱,還原軟體未能及時裝到位的網咖十分致命,其網路傳播速度十分快捷有效。舊版的防毒軟體無法檢測,新版的無法徹底根殺。一但網咖內某台機器中了此病毒,那么該網咖所有未中毒的機器都處於危險狀態。由於病毒發作貯留於記憶體。且通過EXPLORE.exe?進行傳播。因此即使是裝了還原精靈,還原卡的機器也同樣會被感染。你重新啟動後系統可以還原。但是你一但開機還是會被感染。
???? 病毒發作會生成另外病毒pwsteal.lemir.gen和trojan.psw.lineage等等。都是些非常厲害的後門程式。和外掛病毒相似,但是其威力是外掛病毒的50倍以上。在WIN98平台下,改病毒威害比較小。在WIN2000?/XP/2003?平台對於網咖系統是致命的
???? 運行系統極度卡機。你重新啟動後你會發現你所有遊戲的.EXE程式全部都感染了,最新防毒軟體殺完後。除了系統可以勉強運行。其他的你也別想運行了。
病毒檔案:
1SY.exe
? 2sy.exe
3sy.exe
4sy.exe
? 5sy.exe
0sy.exe
viDLL.exe
? cmd.exe
? svhost32.exe
? rundl132.exe(注意最後一個是1不是字母)
bootconf.exe
svchs0t.exe(注意數字0)
winxp.exe
? a.exe