注:该病毒使用VC编写,刚好图标也是VC的图标...
关键词: Worm_Viking 维金病毒 exe文件 感染 rund132.exe logo_1.exe 1sy.exe 2sy.exe 0sy.exe 杀毒软件 文件监控失效 rundl132.exe Worm.Logo.b病毒 “logo”蠕虫病毒 qq病毒
病毒症状:
1:传播方式和变种
该蠕虫同时具有文件型病毒、蠕虫、木马等类型的特点,进入计算机用户的系统之后,会从网上不断地下载多个木马、QQ尾巴病毒等恶意程序安装到受感染的计算机系统中,严重地会造成计算机系统完全崩溃而无法使用。该蠕虫主要利用共享目录、系统弱口令或是文件[屏蔽]、运行被感染病毒的程序、可带病毒的邮件附件等方式等方式进行传播的。
近日该病毒的变种(Worm_Viking.BO)已经出现,该变种进入计算机用户的系统之后,会通过网络下载一些针对网络类游戏的木马程序并安装,试图窃取网络游戏的帐号、密码和装备。同时,该变种还会下载并安装一个QQ尾巴病毒,再利用受感染计算机系统中的聊天工具QQ不断地向外发送垃圾信息,并借机进行传播。
例如:发布以下信息:
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !
http://www.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%xxxxxxE5%86%8C2/"
大家看到以后千万别点,会产生灾难性后果,值得注意的是,这个具有穿透性传染力的病毒可以抵御还原卡和还原软件的防护.
Worm.Logo.b病毒(可能是最维金病毒的早期版本,也有可能是不同杀毒软件的命名不同而已)
“logo”蠕虫病毒,该病毒通过IPC共享进行传播,会感染系统中的可执行文件.病毒还会从网上下载木马,从而窃取感染机器上的敏感信息.此木马可以在局域网中传播,能穿透冰点 还原精灵的等还原软件.自动在QQ上发传播.而且病毒针对全盘,用Ghost恢复C盘是没用的.
2.主要症状: (详细症状见
http://vi.duba.net/index.shtml?CODE=02&virusid=38415&action=viewgraph)
exe文件感染---病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:_desktop.ini (文件属性:系统、隐藏。),但是在C盘某些系统目录和特定目录如:Microsoft Office或者msn目录的exe文件不感染.
关闭主流杀毒软件程序
生成文件和生成进程:
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll,并注入到Explorer 或者Iexplore 进程
感染局域网,并从特定网址下载木马,发布qq消息,引诱他人中毒::
盗取魔兽、传奇帐号,灰鸽子开后gate使系统完全受黑客控制,QQRobber病毒等
木马程序就是1sy.exe 2sy.exe 0sy.exe,还会下载一个 1.txt文件
修改注册表和启动项
1.病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
2 将下载后的"1.txt"的内容添加到相关注册表项
可穿透所有还原软件和硬件(对网吧管理者简直是恶梦)
由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。例如:
4587cool 网友在问题中提到:"我装的是还原精灵6.1 我朋友装的是 冰点 全都中招了!
所以现在还原精灵 和 冰点 装了都没用的 "
摇曳·叶落网友在问题中也反映还原精灵无法解决
中国林 网友在问题中提到他安装了硬盘还原卡(小哨兵的),从回答来看,应该也是被穿透了.
所以更不用说 windows的系统还原点了...
修改%SysRoot%\system32\drivers\etc\hosts
这意味着,当受感染计算机浏览许多站点时(包括众多反病毒站),浏览器就会重定向
=================================================================
查杀方法
如果是一般病毒,我们杀毒的通用步骤见<Downloader病毒的清除 转载自qmqu.com>一文中的通用杀毒步骤
但对于维金病毒,我们在开始安全模式下杀毒之前除了要注意通用步骤中的第一步 关闭系统还原\清除启动项 和第二步 删除internet零时文件外 , 我们还要做这个工作:
把你的杀毒软件升级到最新版本,假若你没有安装杀毒软件的话,那就装一个,(杀毒软件下载)记得装完后不要重新启动(切记),直接升级病毒库,升级完后,把c:\winnt 目录下所有带毒文件删除. 然后再进无网络连接的安全模式下杀毒(进安全模式方法),这个时候杀毒工具的可以有以下选择,我来做个比较:
1:用更新到最新病毒库(至少是9.26日后的)的卡巴斯基或者norton查杀:百度网友flywingzero 在
http://zhidao.baidu.com/question/12636003.html中提到: 现时瑞星和金山的专杀工具,似乎对那些已经被感染了的EXE文件是没效果的,如果用升级过的瑞星去杀的话,是可以发现病毒,不过也会把那些EXE文件也删掉。 我公司也中了这个毒,瑞星、金山等专杀根本没用,扫完后还在恭喜你没中毒。可喜的是,卡巴斯基6.0经过昨天26号的更新以后,已经可以全部杀除电脑上的viking了,重点是,可以清除被感染文件里的病毒,而不是删除。
个人觉得这个方法比较稳妥,因为不损伤exe文件
卡巴斯基的专杀下载: 不过目前没有viking病毒的专杀 ,只有其他病毒的专杀
2.用瑞星或者金山的专杀(下载:
http://qmqu.com/frame/frameset-antivirus.html)或者用它们的最新版本杀:
目前有网友 landingkite 反映用最新版瑞星杀毒后,到目前瑞星还没有报毒.(网友原文)但也有不少网友反映专杀完全没用.
个人分析可能是因为: 瑞星杀毒后没有完全杀掉或者是自己被病毒干掉文件监控功能,所以不报毒,当然也不排除瑞星成功解决病毒的可能,也说不定 landingkite 网友在用瑞星杀完毒后发现自己的exe文件全部玩完......; 专杀完全没用可能是因为杀毒方法不对(未在安全模式下杀)或者是病毒变种太多.
你到卡巴斯基的主页上可以搜索下viking(点我搜索viking),可以搜到50多个变种,所以说专杀不能保证总是有效.
而且由于瑞星或者毒霸现在还没有网友反映可以在无损exe文件的前提下杀毒,所以还是要谨慎.
杀完后,还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。很有可能要重复杀毒3-5次才能杀干净。
接下来就是<Downloader病毒的清除 转载自qmqu.com>一文中的通用步骤5-7了.
(更多详细的文章请到
www.qmqu.com 查看.)
=====================================================================
需要注意的:
该病毒主要是通过弱口令、局域网共享、运行被感染exe文件等途径来进行传播的,所以需要打好系统补丁、关闭共享、对Administrator权限的密码进行强化等等,也可以说,关于此类病毒,防比治更重要!另外,建议做系统的时候把默认共享关闭。关闭ipc$ admin$,关闭554,关闭icmp路由等等手段. 一个好的防火墙(推荐zonealarm,下载)也是很有必要的.
另外, 手动查杀比较麻烦:(1、关闭rundl132.exe的进程,并删除
C:\WINDOWS\rundl132.exe
2、搜索找到并删除vidll.dll
可以通过SSM自动启动来禁用vidll.dll,重新启动后删除vidll.dll
或停止其插入的进程,再删除该dll文件,如果它插入了explorer.exe这个进程,那么
打开任务管理器(ALT+CTRL+Delete),结束掉explorer.exe这个进程,删除vidll.dll文件
然后用任务管理器上面的标签 文件===新建任务===浏览,找到并运行
C:\WINDOWS\Explorer.exe (注:有些变种的进程是 expl0rer.exe, 注意第5个字母是数字0而不是字母o,也需要关闭)
3、删除其在注册表中创建的信息及其他病毒文件_desktop.ini、logo_1.exe
找到注册表中[hkey_local_machine/software/soft/downloadwww]
auto = 1 删除downloadwww主键
找到[hkey_local_machine/software/microsoft/windowsnt/currentversion/inifilemappingsystem.iniboot]
winlogo项,把winlogo项后面的c:\winnt\sws32.dll删掉。
接下来把hkey_local_machine/software/microsoft/windows/currentversion/runonce/runonceex
两个中其中有个也是c:\winnt\sws32.dll。把类似以上的全部删掉,注意不要删除默认的键值。如果没有以上键值,则直接跳过此步骤。
4、修复被更改的hosts文件,hosts文件用记事本打开
C:\WINDOWS\system32\drivers\etc\hosts),大家借鉴下就可以了.
=====================================================================
大家比较关心的问题: 能否恢复被感染的exe文件
个人看法:1. 你如果在卡巴斯基升级后能够不损伤exe文件杀毒,这是最完美的情况了
2.如果在此之前你已经用过瑞星或者毒霸杀的话,估计恢复起来就比较难了,因为它们是把感染了的exe删掉了..
就目前看来,手动恢复起来难度较大. 不过网上流传了一些恢复方法,但没有测试过,大家有兴趣可以看看,
