威金指的是病毒威金蠕蟲,威金蠕蟲感染Windows執行檔,並會查找區域網路中所有的共享計算機,嘗試猜解它們的密碼,試圖感染這些計算機。該病毒還會自動在後台下載並運行“西遊木馬”等,竊取網路遊戲玩家的賬號和密碼並傳送給黑客。同時,該病毒還會下載一個QQ病毒,自動向用戶的QQ好友傳送內容為“看看啊。我最近的照片~才掃描到QQ相冊上的!”的訊息並附帶一個網址,其他用戶點擊訊息中的網址就可能被病毒感染。
專家建議,現象,
專家建議
不要隨便登錄通過QQ、MSN等即時通信工具發來的網站地址,登錄前要向對方確認,如果對方沒有回覆則極有可能是病毒自動傳送的。另外,平時一定要將防毒軟體的監控功能打開,以防範此類病毒。威金Worm.Viking病毒分析及處理
現象
1.中毒後所有.exe執行檔案均發生異常;
2.中毒後系統分區生成很多垃圾檔案;
3.中毒後網路共享印表機生成“遠程下層文檔”異常佇列;
4.中毒後網路共享印表機自動列印內容為一行日期的空白頁面;
5.在所有資料夾下生成純檔案_desktop.ini,內容為一行日期;
6.生成病毒檔案
a) Program Files\svhost32.exe
b) Program Files\microsoft\svhost32.exe
c) Windows\explorer.exe
d) windows\logo1_exe
e) windows\rundll32.exe
f) windows\rundl132.exe
g) windows\intel\rundl132.exe
h) windows\dll.dll
受影響的系統:
Windows 95, 98, ME, NT, 2000, XP_SP2和Server 2003_SP1
傳播途徑:
掃描administrator和guest帳號口令為空的計算機,並通過共享迅速傳播。
病毒查殺:
採用Mcafee + Ewido + Logkill組合查殺;並手工免疫。
處理步驟:
1.禁用系統還原,並刪除相關備份檔案;
2.在安全模式下,使用已更新的Mcafee和Ewido掃描並查殺全盤;
3.對被破壞的exe檔案,使用Logkill嘗試修復;
4.為administrator和guest帳號設定非弱口令。
威金Worm.Viking病毒查殺及手工免疫
(以下描述可能對有經驗的讀者略顯煩瑣,請選擇跳過或略讀。)
第一步:安裝Ewido v4.0.172
1.解壓縮Ewido v4.0.172 綠色漢化版.rar;
2.執行並安裝ewidoantispyware400172.exe;
3.執行並漢化ewidoantispyware400172yywj_v2_kaci.exe;
4.激活並註冊,註冊碼70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY
請參考“使用說明.txt”。
第二步:升級Ewido v4.0.172
打開Ewido主程式,選擇第二個標籤“更新”,點擊“開始更新”,待更新完成。
第三步:使用Ewido掃描系統
打開Ewido主程式,選擇第三個標籤“掃描器”,進行“完整系統掃描”,待掃描完成。
第四步:進行威金病毒手工免疫
1.使系統顯示隱藏檔案
打開“我的電腦”; 依次打開選單“工具”->“資料夾選項”;然後在彈出的“資料夾選項”對話框中切換到“查看”頁; 去掉“隱藏受保護的作業系統檔案(推薦)"前面的對鉤,讓它變為不選狀態; 在下面的“高級設定”列表框中改變“不顯示隱藏的檔案和資料夾”選項為“顯示所有檔案和資料夾”選項; 去掉“隱藏已知檔案類型的擴展名”前面的對鉤,也讓它變為不選狀態。最後“確定”完成即可。
2. 製作病毒免疫檔案
A.進入C:\WINDOWS目錄,新建3個檔案"logo1_.exe"、"rundl132.exe"、"vdll.dll";
B.依次右鍵單擊新創建的檔案,選擇“屬性”,進入“安全”標籤頁;
C.點擊“高級”選項;
D.在“高級安全設定”中取消“從父項繼承那些可以套用到子對象的許可權項目,包括那些在此明確定義的項目”;
E.在彈出的對話框中選擇“刪除”;
F.在返回的視窗中部單擊“添加”按鍵;
G.在“輸入對象名稱來選擇”文本框中輸入 everyone,確定;
H.賦予全部拒絕許可權;
I.按照上述方法再次添加“SYSTEM”,並賦予全部拒絕許可權;
J.確定完成即可。
K.按照上述方法將"logo1_.exe"、"rundl132.exe"、"vdll.dll"三個新建檔案全部賦予everyone和SYSTEM的拒絕許可權;
L.完成免疫。
相關技術分析
(以下部分摘自趨勢科技病毒知識庫)
到達、植入及自啟動技術
在運行時,病毒會在 Windows資料夾中生成一個 PE_LOOKED.BF-O的拷貝 RUNDL132.EXE,然後將其運行。病毒同樣會生成一個 .DLL檔案,然後將其注入到 IEXPLORER.EXE進程中。趨勢將這個 .DLL檔案檢測為 TROJ_LOOKED.BF。這個木馬負責實現傳播感染檔案的目的。
在Windows 98和ME系統中,為使自身可以在每次系統啟動時自動運行,病毒添加如下的註冊表項目:
引用內容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Current Version\Run
Load = "%Windows%\rundl132.exe"
(注意: %Windows% 是Windows資料夾,通常就是C:\Windows或C:\WINNT。)
在基於Windows NT(Windows NT, 2000, XP和Server 2003)的系統中,為使自身可以在每次系統啟動時自動運行,病毒修改如下的註冊表項目:
引用內容
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows
Load = "%Windows%\rundl132.exe"
(注意: 該鍵值默認值為 Load = "".)
作為自啟動的一部分,病毒創建如下註冊表鍵值:
引用內容
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
Auto = "1"
通過網路共享進行傳播
這個檔案感染型病毒可以通過網路共享進行傳播。病毒會使用用戶名為 administrator 和 guest,口令為空的賬戶信息,嘗試登錄如下網路共享,成功登錄後會在共享中生成自身拷貝。
ADMIN$ 、IPC$
檔案感染
該病毒會搜尋C到Z盤中的所有EXE檔案,找到檔案後將病毒代碼前綴至檔案中。但是,病毒會避免感染含有如下字元串的檔案:
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN Gaming Zone
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
WindowsUpdate
winnt
進程終止
該病毒會尋找如下與安全有關的如下進程,找到後會將其終止:
MCSHIELD.EXE、REGSVC.EXE
病毒還會終止名為 Kingsoft Antivirus 的服務。
其他細節
該病毒會在其遍歷過的每個資料夾中生成一個名為“ _DESKTOP.INI”的非惡意純文本檔案。這個文本檔案中包含病毒感染日期。
---------------------------------------------------------------------------------------------------------------------------------------------
如何恢復被威金感染的exe檔案
然後,在Windows目錄下建立一個空檔案,檔案名稱為logo1_.exe,檔案屬性設定成“唯讀、隱藏、系統屬性”。按照此方法,還需建立rundl123.exe、logo_1.exe以及Sy0.exe~Sy9.exe等檔案。
接著,拔掉網線,斷開網路,暫時關閉病毒防護。還原被隔離的.exe檔案,點擊運行。這時被感染的.exe檔案就會脫殼,logo1_.exe以及rundl123.exe等會被釋放。用最新的專殺對這個.exe檔案檢測一遍,然後把它放入RAR壓縮檔里。在RAR中的.exe檔案不會感染,在RAR中運行這個程式也沒問題。
注意,在使用超級兔子等軟體時一定不能清理自己創建的那幾個檔案。否則,病毒將再次開始活動。
最後,再次全面查殺,保證內部無毒。
此方法,只推薦給專業人士參考,不要輕易操作,以免發生嚴重後果
功能描述
使用說明
運行ArFix.exe
添加樣本-〉選擇一個病毒檔案或者一個被病毒感染的檔案(如某些圖示有變化的檔案,有時需要添加病毒母體才能殺乾淨)!
顯示病毒可能是個正常檔案時,說明這不是個被感染的程式,可能是病毒母體,這種無法修復,只能刪除!(檔案選擇錯誤,會刪除掉正常的程式)
顯示為被感染的可執行程式時,說明這個被感染了,可以修復!
添加到特徵庫後,會看到支持的變種數量增加了!
進行全盤查殺!
您可以通過登入windows清理助手網站了解更多關於軟體工具使用和系統安全知識!
官方下載本工具:http://www.arswp.com/ARFix.html
