金山毒霸病毒大百科:http://{域名已经过期}/index.shtml?CODE=02&virusid=38415&action=viewgraph
病毒别名: w32.looked.i(诺顿),W32/Looked.I Worm(psp),Worm.Viking.m(金山)处理时间:2006-06-01威胁级别:★★中文名称: “维金”病毒(金山),“威金”病毒(金山)类 型:蠕虫影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为: %SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"load"="C:\\WINNT\\rundl132.exe"[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:systemsystem32windowsDocuments and settingssystem Volume InformationRecycledwinntProgram FilesWindows NTWindowsUpdateWindows Media payerOutlook ExpressInternet ExporerCompus AppicationsNetMeetingCommon FilesMessengerMicrosoft OfficeInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:ExporerIexpore找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:http://www.17**.com/gua/zt.txt 保存为:c:\1.txthttp://www.17**.com/gua/wow.txt 保存为:c:\1.txthttp://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exehttp://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exehttp://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++""ver_down1"="[boot loader]timeout=30[operating systems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////""ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
《红色警报:w32.looked.i病毒开始泛滥》
该病毒临床症状:
1.感染所有的EXE文件
2.W32.Looked.I 蠕虫,执行后会在系统生成:%Windir%
undl132.exe, %CurrentFolder%vDll.dll 等病毒文件; 并在注册表添加系统服务随系统启动,试图终止安全相关的程序,终止系统重要进程,注入自身到DLL组件,vdll.dll到iexpore.exe,expore.exe,全盘搜索.exe文件,并注入自身到这些文件,无法清除, 使系统文件全部都染病毒
3.中止大部分的杀毒软件进程,诺顿可以隔离。但是结果是EXE文件全部执行不了
4.在共享的打印机上不停的打印,内容为当天日期
5.在C:\winnt 或是 windows生成Logo1_.exe , rundl132.exe,bootconf.exe几个文件,感染应用程序的速度非常快,只要你一用到某个应用程序,马上就会被感染,并且Logo1_.exe 会变成此应用程序的图标.
6.在局域网内部中传播相当快,能通过信使传播,但已禁用信使的电脑也能被感染,不知道它有多少传播途径.
7.被感染的机子很难清除干净,在某些电脑上的每一个文件夹还会有一个 _desktop 的記事本文件,内容为当前日期
“维金”病毒专杀工具
金山毒霸专杀(Win98不适用):本地下载远程下载更多下载
瑞星专杀(支持Win98):本地下载远程下载更多下载
请各科室、各教室下载查杀!
最好是下载后拔掉网线、断开网络后再查杀。
因为病毒会利用网络共享文件夹传输,所以请把各自电脑的共享文件夹去掉共享。能不共享尽量不要共享。共享为病毒的传播打开方便之门。或者共享后及时关闭!
“Worm.Win32.Viking.i”病毒分析及查杀
