恶性病毒变种!维金”(Worm.Viking.m)病毒专题及解决方案本病毒疑为前期穿透还原的恶性病毒变种!请大家提高警惕!已经可以再windows全部环境下传播!但是似乎目前这个版本没有能力穿透任何还原产品!目前全盘还原方案可较为有效对抗此病毒!只读更新无法抑制此病毒传播。目前沪上某知名维护公司的所有名下网吧均已大规模爆发此病毒,并造成很多网吧瘫痪。损失惨重!所以请使用只读更新的朋友务必提高警惕。病毒特征:病毒行为: 该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。1、病毒运行后将自身复制到Windows文件夹下,文件名为: %SystemRoot%\rundl132.exe2、运行被感染的文件后,病毒将病毒体复制到为以下文件:%SystemRoot%\logo_1.exe3、同时病毒会在病毒文件夹下生成:病毒目录\vdll.dll4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:_desktop.ini (文件属性:系统、隐藏。)5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。6、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"load"="C:\\WINNT\\rundl132.exe"[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]"load"="C:\\WINNT\\rundl132.exe"7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。8、枚举以下杀毒软件进程名,查找到后终止其进程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同时病毒尝试利用以下命令终止相关杀病毒软件:net stop "Kingsoft AntiVirus Service"10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:systemsystem32windowsDocuments and settingssystem Volume InformationRecycledwinntProgram FilesWindows NTWindowsUpdateWindows Media PlayerOutlook ExpressInternet ExplorerComPlus ApplicationsNetMeetingCommon FilesMessengerMicrosoft OfficeInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gaming Zone12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:Explorer Iexplore找到符合条件的进程后随机注入以上两个进程中的其中一个。13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:[url]http://www.17[/url]**.com/gua/zt.txt 保存为:c:\1.txt[url]http://www.17[/url]**.com/gua/wow.txt 保存为:c:\1.txt[url]http://www.17[/url]**.com/gua/mx.txt 保存为:c:\1.txt[url]http://www.17[/url]**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe[url]http://www.17[/url]**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe[url]http://www.17[/url]**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe注:三个程序都为木马程序14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]"auto"="1"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++""ver_down1"="[boot loader]timeout=30[operating systems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////""ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"\“维金(Worm.Viking.m)”恶性蠕虫病毒五宗罪 一罪:感染系统文件,造成系统损坏,且手动清除困难; 二罪:下载恶性木马。盗取魔兽、传奇帐号,灰鸽子开后门使系统完全受黑客控制,QQRobber病毒等; 三罪:多路网络传播方式。通过感染文件、局域网共享来传播; 四罪:强制禁用国内知名反病毒软件,降低性安全性,易感染其它病毒; 五罪:变种多。数日内,已经出现多个变种。 可以下载WindowsXP-KB917537-x86-CHS.exe补丁文件,重启后即全部搞定。
本文转自redking51CTO博客,原文链接:http://blog.51cto.com/redking/15621,如需转载请自行联系原作者
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。