Worm.Viking.go
病毒別名: 處理時間:2007-03-27 威脅級別:★★
中文名稱:維金 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是一個windows平台下的感染型病毒,感染擴展名為.exe的檔案,通過區域網路傳播自身,當外網可用時,會從指定的網址下載其他木馬病毒
1、病毒運行後將自身複製到Windows資料夾下,檔案名稱為:
%SystemRoot%\rundl132.exe
2、運行被感染的檔案後,病毒將病毒體複製到為以下檔案:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒資料夾下生成:
病毒目錄\dll.dll
4、病毒從Z盤開始向前搜尋所有可用分區中的exe檔案,然後感染所有大小27kb-10mb的執行檔,感染完畢在被感染的資料夾中生成:
_desktop.ini (檔案屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts檔案。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"load"="C:\\WINNT\\rundl132.exe"
【HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows】
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程式,查找到窗體後傳送訊息關閉該程式。
8、枚舉以下防毒軟體進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:
net stop "Kingsoft AntiVirus Service"
10、傳送ICMP探測數據"Hello,World",判斷網路狀態,網路可用時,
枚舉區域網路所有共享主機,並嘗試用弱口令連線\\IPC$、\admin$等已分享資料夾,連線成功後進行網路感染。
11、枚舉系統進程,嘗試將病毒dll(dll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
12、當外網可用時,被注入的dll檔案嘗試連線以下網站下載並運行相關程式:
http://www.513**.com/ma/0.exe
http://www.513**.com/ma/1.exe
http://www.513**.com/ma/2.exe
http://www.513**.com/ma/3.exe
http://www.513**.com/ma/4.exe
http://www.513**.com/ma/5.exe
http://www.513**.com/ma/6.exe
http://www.513**.com/ma/7.exe
http://www.513**.com/ma/8.exe
http://www.513**.com/ma/9.exe
