典型特点:当你的电脑中有大量的desktop.ini,就意味着中了维金病毒。
维金Worm.Viking病毒及_desktop.ini的删除
二、清除病毒
首先结束rundl132.exe、rundll32.exe、logo_1.exe及其他陌生进程,删除注册表启动项里
维金Worm.Viking病毒及_desktop.ini的删除
注意:中毒后不要重启电脑,用以下办法清除、删除病毒后,重启电脑并按F8键选择“最后一次正
确的配置”来修复病毒所带来的负面影响。。。
一、病毒特点:
威胁级别:★★
病毒类型:蠕虫
影响系统:Win 9x/ME Win 2000/NT Win XP Win 2003
威胁级别:★★
病毒类型:蠕虫
影响系统:Win 9x/ME Win 2000/NT Win XP Win 2003
病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的
复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机
时可以自动运行,同时/病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下
载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接
感染目标计算机。运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用
户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播
。
1、病毒运行后将自身复制到Windows或相关文件夹下,名为rundl132.exe或者rundll32.exe。
2、病毒运行后,将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。
4、病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染,症状就是文件
图标被修改,在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)。
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,
并尝试用弱口令连接IPC$、admin$等共享目录,连接成功后进行网络感染。
11、不感染系统文件夹中的文件,如windows、system、system32、winnt等等。
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
[url]http://www.17[/url]**.com/gua/zt.txt 保存为:c:\1.txt
[url]http://www.17[/url]**.com/gua/wow.txt 保存为:c:\1.txt
[url]http://www.17[/url]**.com/gua/mx.txt 保存为:c:\1.txt
[url]http://www.17[/url]**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
[url]http://www.17[/url]**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
[url]http://www.17[/url]**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
2、病毒运行后,将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。
4、病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染,症状就是文件
图标被修改,在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)。
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,
并尝试用弱口令连接IPC$、admin$等共享目录,连接成功后进行网络感染。
11、不感染系统文件夹中的文件,如windows、system、system32、winnt等等。
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
[url]http://www.17[/url]**.com/gua/zt.txt 保存为:c:\1.txt
[url]http://www.17[/url]**.com/gua/wow.txt 保存为:c:\1.txt
[url]http://www.17[/url]**.com/gua/mx.txt 保存为:c:\1.txt
[url]http://www.17[/url]**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
[url]http://www.17[/url]**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
[url]http://www.17[/url]**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、修改注册表将启动文件及内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]目录下的运行
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]目录下的运行
rundll32.exe的值。
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\"
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\"
////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\"
/////"
二、清除病毒
首先结束rundl132.exe、rundll32.exe、logo_1.exe及其他陌生进程,删除注册表启动项里
的病毒键值及相对应文件夹中的病毒文件,再用专杀工具清除病毒,最后就是删除_desktop.ini文
件了。该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,从硬盘分区搜索不到,一个个
文件夹搜索删除又太费劲,因此在这里要用到一个批处理命令del C:\_desktop.ini /f/s/q/a,该
命令的作用是在杀掉viking病毒之后清理系统内残留的文件,命令解释:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名
/a 是按照属性来删除
使用方法是开始/运行/cmd.exe,输入以上命令即可,首先是删除C盘中的_desktop.ini,然后依此
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名
/a 是按照属性来删除
使用方法是开始/运行/cmd.exe,输入以上命令即可,首先是删除C盘中的_desktop.ini,然后依此
删除另外分区中的_desktop.ini文件
注意,有很多变种的,大家最好是用安全分析专家扫描分析下,地址:bbs.cnns.net
