威金Worm.Viking病毒分析及处理【经验】 
前言:本文针对最近一段时间非常流行且破坏性较大的威金worm.viking病毒做一些浅显的分析,并综合本人的处理经验,希望对各位有所启发。在此谢谢ID“还是马褂”给予的鼓励。不尽之处,多谢指点。(文中所提相关软件,若有读者希望测试使用,请留下电子邮箱等联系方式)
威金Worm.Viking病毒分析及处理现象:
1. 中毒后所有.exe执行文件均发生异常;
2. 中毒后系统分区生成很多垃圾文件;
3. 中毒后网络共享打印机生成“远程下层文档”异常队列;
4. 中毒后网络共享打印机自动打印内容为一行日期的空白页面;
5. 在所有文件夹下生成纯文件_desktop.ini,内容为一行日期;
6. 生成病毒文件
a) Program Files\svhost32.exe
b) Program Files\micorsoft\svhost32.exe
c) Windows\explorer.exe
d) windows\logo1_exe
e) windows\rundll32.exe
f) windows\rundl132.exe
g) windows\intel\rundl132.exe
h) windows\dll.dll
受影响的系统:
Windows 95, 98, ME, NT, 2000, XP_SP2和Server 2003_SP1
传播途径:
扫描administrator和guest帐号口令为空的计算机,并通过共享迅速传播。
病毒查杀:
采用Mcafee + Ewido + Logkill组合查杀;并手工免疫。
处理步骤:
1. 禁用系统还原,并删除相关备份文件;
2. 在安全模式下,使用已更新的Mcafee和Ewido扫描并查杀全盘;
3. 对被破坏的exe文件,使用Logkill尝试修复;
4. 为administrator和guest帐号设置非弱口令。
威金Worm.Viking病毒查杀及手工免疫----------------------------------------(以下描述可能对有经验的读者略显烦琐,请选择跳过或略读。)图片格式不是很紧凑请见谅第一步:安装Ewido v4.0.172
1. 解压缩Ewido v4.0.172 绿色汉化版.rar;
2. 执行并安装ewidoantispyware400172.exe;
3. 执行并汉化ewidoantispyware400172yywj_v2_kaci.exe;
4. 激活并注册,注册码70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY
请参考“使用说明.txt”。
第二步:升级Ewido v4.0.172
打开Ewido主程序,选择第二个标签“更新”,点击“开始更新”,待更新完成。
 第三步:使用Ewido扫描系统 打开Ewido主程序,选择第三个标签“扫描器”,进行“完整系统扫描”,待扫描完成。
 第四步:进行威金病毒手工免疫 1. 使系统显示隐藏文件
打开“我的电脑”; 依次打开菜单“工具”-“文件夹选项”;然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态。最后“确定”完成即可。
2. 制作病毒免疫文件
A. 进入C:\WINDOWS目录,新建3个文件"logo1_.exe"、"rundl132.exe"、"vdll.dll";
B. 依次右键单击新创建的文件,选择“属性”,进入“安全”标签页; C. 点击“高级”选项;  D. 在“高级安全设置”中取消“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”; E. 在弹出的对话框中选择“删除”;  F. 在返回的窗口中部单击“添加”按键; G. 在“输入对象名称来选择”文本框中输入 everyone,确定;  H. 赋予全部拒绝权限;  I. 按照上述方法再次添加“SYSTEM”的拒绝权限;  J. 确定完成即可。 K. 按照上述方法将"logo1_.exe"、"rundl132.exe"、"vdll.dll"三个新建文件全部赋予everyone和SYSTEM的拒绝权限; L. 完成免疫。 相关技术分析 (以下部分摘自趋势科技病毒知识库)
到达、植入及自启动技术
 在运行时,病毒会在 Windows文件夹中生成一个 PE_LOOKED.BF-O的拷贝 RUNDL132.EXE,然后将其运行。病毒同样会生成一个 .DLL文件,然后将其注入到 IEXPLORER.EXE进程中。趋势将这个 .DLL文件检测为 TROJ_LOOKED.BF。这个木马负责实现传播感染文件的目的。
在Windows 98和ME系统中,为使自身可以在每次系统启动时自动运行,病毒添加如下的注册表项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Current Version\Run Load = "%Windows%\rundl132.exe" (注意: %Windows% 是Windows文件夹,通常就是C:\Windows或C:\WINNT。)
在基于Windows NT(Windows NT, 2000, XP和Server 2003)的系统中,为使自身可以在每次系统启动时自动运行,病毒修改如下的注册表项目:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows Load = "%Windows%\rundl132.exe" (注意: 该键值默认值为 Load = "".)
作为自启动的一部分,病毒创建如下注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
Auto = "1" 通过网络共享进行传播
这个文件感染型病毒可以通过网络共享进行传播。病毒会使用用户名为 administrator 和 guest,口令为空的账户信息,尝试登录如下网络共享,成功登录后会在共享中生成自身拷贝。
文件感染
该病毒会搜索C到Z盘中的所有EXE文件,找到文件后将病毒代码前缀至文件中。但是,病毒会避免感染含有如下字符串的文件:
进程终止
该病毒会寻找如下与安全有关的如下进程,找到后会将其终止:
病毒还会终止名为Kingsoft Antivirus 的服务。
其他细节
该病毒会在其遍历过的每个文件夹中生成一个名为“ _DESKTOP.INI”的非恶意纯文本文件。这个文本文件中包含病毒感染日期。 本文出自 51CTO.COM技术博客 |
peadog
博客统计信息
热门文章
最新评论
友情链接
