档案编号:CISRT2006012 病毒名称:Worm.Win32.Viking.j(Kaspersky) 病毒别名: 病毒大小:27,113 字节 加壳方式:UPack 样本MD5:0c8ec9ca2b0e1242fe9889c213805d80 发现时间:2006.6.4 更新时间:2006.6.4 关联病毒:Worm.Win32.Viking.i(Kaspersky) Trojan.Win32.Delf.rf(Kaspersky) 传播方式:通过QQ尾巴、恶意网站、感染文件、不安全的共享网络传播 技术分析 ========== 病毒运行后复制文件到: %Windows%\rundl132.exe 在当前目录释放文件: vDll.dll 创建启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="%Windows%\rundl132.exe" 使用如下命令停止Duba服务: net stop "Kingsoft AntiVirus Service" 感染exe文件,将自己捆绑到正常文件的前端,在病毒“访问”过的目录下生成_desktop.ini文件,里面记录的是感染日期。 病毒感染exe会跳过以下目录,避免感染: system system32 windows Documents and Settings System Volume Information Recycled winnt Program Files Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer ComPlus Applications NetMeeting Common Files Messenger Microsoft Office InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gaming Zone 另外,病毒还会发送“Hello,World”ICMP包探测网络,尝试访问局域网内\ipc$、\admin$共享感染其它计算机上的exe文件。 设置注册表信息: [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] "auto"="1" 尝试从恶意网站上下载其它木马程序。 运行被感染的exe文件后,被感染的exe文件生成病毒文件%Windows%\rundl132.exe、原始正常文件(文件名为原始文件名后加.exe)、病毒文件%Windows%\logo1_.exe,还有批处理%Temp%\$$??.bat,病毒文件图标同运行的被感染文件图标。 %Temp%\$$??.bat内容: QUOTE: :try1 Del "test.exe" //删除被感染的exe文件(test.exe) if exist "test.exe" goto try1 ren "test.exe.exe" "test.exe" //改名原始正常文件(test.exe.exe)为原始文件名(test.exe) if exist "test.exe.exe" goto try2 "test.exe" //运行改名后的文件,即原始正常文件 :try2 del "%Temp%\$$??.bat" //删除自身 也就是说,被感染文件运行后会被暂时恢复,但病毒还在进程中,可以再次感染exe文件,只要及时结束病毒进程,被感染的exe文件可以通过这种另类方法恢复。 清除步骤 ========== 1. 建议使用可以清除该病毒的杀毒软件在安全模式或DOS下(或另一个操作系统)全盘扫描,部分杀毒软件会直接删除被“感染”的exe文件 2. 病毒清除后可以删除病毒的启动信息: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="%Windows%\rundl132.exe" 3. 做好安全预防工作,如:设置复杂的管理员帐户密码、关闭不必要的(可写)共享、安装系统补丁等等。 专杀工具 ========== 毒霸 “维金”病毒专杀工具 http://db.kingsoft.com/download/3/246.shtml 瑞星 “威金(Worm.Viking)”病毒专杀工具” http://it.rising.com.cn/service/technology/RavVikiing.htm
