5月30日,老驴给我出个难题,见面第一句话“我的机子中标了,好象只针对.exe文件或uninstall,卡巴查出是Worm.Win32.Viking.i”,通过google给他找到了病毒的介绍和解决办法,最后索性让他把病毒文件发过来,在vm下自己分析了一下。本来想着是个别问题,结果发现这两天网络关于该病毒的消息越来越多,那就把我看到的一些东西跟大家分享一下吧。 接着来分析一下Symantec定义的各变种病毒爆发后的操作: 病毒简介:该病毒是一个会从远端服务器下载文件并感染.exe文件的蠕虫病毒,它会降低安全防护的效能并通过网络共享传播自己。 感染系统:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP 病毒行为(有些行为可能只在某个变种体现): 1、(部分变种)创建文件%Windir%\rundl132.exe (A copy of W32.Looked.I),注意这里的文件名是rundl132.exe,不是rundll32.exe,%Windir%默认为C:\Windows或者C:\Winnt; 2、创建木马程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan),%CurrentFolder%表示病毒被初次执行时的目录,我见到的基本都在%Windir%下; 3、(部分变种)从远端服务器下载病毒程序到%Windir%\1.exe,并执行,有些变种下载的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件; 4、拷贝自身为%Windir%\Logo1_.exe; 5、在注册表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下创建键值"auto" = "1"; 6、(部分变种)在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows创建键值"load" = "%Windir%\rundl132.exe"; 7、(部分变种)停止服务Kingsoft AntiVirus Service; 8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE 9、从磁盘C到Y检索.exe文件并感染找到的文件,不会感染下列目录中的.exe文件:
11、使用administrator和空口令尝试打开任何对ICMP包响应的计算机的\\ipc$和\\admin$目录; 12、拷贝自身到成功打开的共享目录; 13、检索成功打开的共享目录,寻找并感染.exe文件; 14、(部分变种)尝试结束下列进程:
1、专杀工具:
首先建议下在IceSword1.8,在IceSword中进行操作。 (1)在进程中找到并结束Logo1_.exe、rundl132.exe进程,未找到则直接跳过; (2)找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目录中,%Windir%默认为C:\Windows或者C:\Winnt。 (3)打开注册表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,删除auto键值; (4)打开注册表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows,删除load键值; (5)打开%system%\drivers\etc下hosts文件,删除“127.0.0.1 localhost”一行后所有内容; (6)升级病毒定义库,在安全模式下对全盘进行扫描。 五、补充说明: 根据这两天看到的消息,该病毒可能出现了新的变种,捆绑了QQ尾巴病毒,因为从老驴那里拿到的病毒体没有这个内容,限于个人水平也无法彻底分析明白,转述了“C.I.S.R.T 论坛”对各新变种的分析及解决办法,汇总为“ViKing病毒专题”,大家可以根据自己的情况采取相应的查杀方式。
·http://soft.yesky.com/security/42/2431542.shtml ·http://forum.ikaka.com/topic.asp?board=28&artid=8037807 ·http://safebbs.it168.com/redirect.php?tid=8032&goto=lastpost ·http://www.simkz.com/cisrt/forumdisplay.php?fid=12 ·http://coolersky.com/articles/virus/analyze/2006/0608/264.h |
联系客服