首页>大家谈>技术>大家小心”威金“病毒啊
回复
« 返回列表
贫嘴
贫嘴
普通会员
普通会员
  • 铜币0枚
  • 威望0点
  • 贡献值0点
写私信
阅读:1647回复:4

大家小心”威金“病毒啊

楼主#
更多 发布于:2006-10-29 11:34
如果自己任务管理器性下有rundal132.exe(不是rundll132,L和1不一样,这是病毒惯用的伎俩),logo1.exe等还有打开隐藏系统文件出现_desktop.ini(不是desktop.ini,前面多了一个下划线),就说明中了威金了。这个可能有帮助http://download.enet.com.cn/html/030202006092401.html
喜欢0
回复
zhaoshi
zhaoshi
写手
写手
  • 铜币44枚
  • 威望10点
  • 贡献值1点
写私信
  • 社区居民
1C#
发布于:2006-12-19 22:23
Re:大家小心”威金“病毒啊
虽然很小心,我还是中招了,所有的EXE文件都没有幸免.一个盘的空间都不够用了.
Foolish,stupid,are you out of your mind? 站得更高,尿得更远~
回复(0) 喜欢(0)
hsfnba
hsfnba
小有名气
小有名气
  • 铜币16枚
  • 威望0点
  • 贡献值0点
写私信
  • 社区居民
2C#
发布于:2006-12-13 21:50
Re:大家小心”威金“病毒啊
Worm.Win32.Viking.ai    

种  类: Internet Worm
基本信息:
这是一个网络蠕虫病毒。它通过互联网资源复制自身。该蠕虫自身是一个 Windows PE EXE 文件,大小 49152 字节。使用 UPX 加密并且解密后文件大小 219 KB 。它是使用 Borland Delphi 编写的。

安  装:
在安装时该蠕虫复制自身到 Windows 根目录:

%WinDir%\rundl132.exe

该蠕虫注册该文件到系统注册表中以确保每次开机后自动加载。在 Win 98/Me 系统中:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "load"="%WinDir%\rundl132.exe"

在其它系统中:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
 "load"="%WinDir%\rundl132.exe"

该蠕虫随后检测系统日期,如果系统日期晚于 2105 年 1 月 4 日 ,它将终止活动。

该蠕虫同样会在系统跟目录下注册一个名为 Dll.dll 大小 24 575 字节的文件:

%WinDir%\dll.dll

该蠕虫随后注册动态链接库到 Explorer.exe 和 Iexplore.exe 进程中,同时创建以下注册表键值:

[HKLM\Software\Soft\DownloadWWW]
 "auto"="1"

通过局域网传播:

该蠕虫复制自身到以下共享网络资源:

ADMIN$

IPC$

行为分析:

该蠕虫扫描该系统并且终止以下名称的进程:

EGHOST.EXE

IPARMOR.EXE

KAVPFW.EXE

MAILMON.EXE

mcshield.exe

RavMon.exe

Ravmond.EXE

regsvc.exe

该蠕虫同样会关闭金山反病毒软件的服务。

它同样会查找除了以下目录中的所有 EXE 文件:

Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Recycled
System
System Volume Information
system32
windows
Windows NT
WindowsUpdate
winnt

该蠕虫会检测以下文件名,并且将该蠕虫本体注入这些程序文件:

ACDSee4.exe

ACDSee5.exe

ACDSee6.exe

AgzNew.exe

Archlord.exe

AutoUpdate.exe

autoupdate.exe

BNUpdate.exe

Datang.exe

editplus.exe

EXCEL.EXE

flashget.exe

foxmail.exe

FSOnline.exe

GameClient.exe

install.exe

jxonline_t.exe

launcher.exe

lineage.exe

LineageII.exe

MHAutoPatch.exe

Mir.exe

msnmsgr.exe

Mu.exe

my.exe

NATEON.exe

NSStarter.exe

Patcher.exe

patchupdate.exe

QQ.exe

Ragnarok.exe

realplay.exe

run.exe

setup.exe

Silkroad.exe

Thunder.exe

ThunderShell.exe

TTPlayer.exe

Uedit32.exe

Winrar.exe

WINWORD.EXE

woool.exe

zfs.exe

当这些文件被运行时,将会执行一个被感染的病毒文件。

在所有目录中扫描扩展名为 .exe 的文件,该蠕虫创建一个文件名为 "_desktop.ini" 的文件。该文件使用 " 隐藏 " 和 " 系统 " 属性 ,并且包含该蠕虫运行的日期。

该蠕虫同样发送一个 ICMP 请求使用 “Hello, World” ,来检测可用的网络资源。随后扫描所有共享网络资源并且感染以上所提到的文件。

该蠕虫如果在系统中发现 avp.exe 进程则会将卷级别设置为 0 。

该蠕虫包含一个 URLs 地址列表来检测文件。如果该文件被保存到任意一个地址,它将被下载到系统中并运行。
 








解决这个病毒最简单得办法,将系统日期设置到2105年以后,呵呵,当然,安全模式下手动删除恢复对应文件和注册表值即可。
五千事靠自己 万事靠男人的女人不是好女人 万事靠自己的女人不是聪明女人
回复(0) 喜欢(0)
贫嘴
贫嘴
普通会员
普通会员
  • 铜币0枚
  • 威望0点
  • 贡献值0点
写私信
3C#
发布于:2006-10-30 09:21
Re:大家小心”威金“病毒啊
上面链接有病毒?不会吧!我上没事阿。我是卡巴6.0 [ 2006-10-30 09:22:10 贫嘴 修改 ]
回复(0) 喜欢(0)
路漫漫
路漫漫
小有名气
小有名气
  • 铜币12枚
  • 威望4点
  • 贡献值1点
写私信
4C#
发布于:2006-10-29 20:48
Re:大家小心”威金“病毒啊
网页有病毒,我用的是卡巴检查出来的。
回复(0) 喜欢(0)
游客

Powered by phpwind v9.0 ©2003-2103 phpwind.com

返回顶部