該病毒運行後,釋放若干病毒檔案,並會大量感染·exe檔案。修改註冊表,添加啟動項鍵值,以達到開機啟動病毒的目的。病毒試圖連線某網站下載檔案,但連結已失效。當用戶運行受感染的·exe檔案後,病毒會在%Windows%目錄下生成rundl132.exe檔案,圖示據用戶當前桌面圖示隨機生成。插入vDll.dll執行緒到explore.exe進程中,以隱藏病毒體。
基本介紹
基本信息,傳播過程,
基本信息
病毒名稱: Worm.Win32.Viking.n
中文名稱: 維金變種
檔案 MD5: 7C7C18AFCB8F91CC18FF9DC2BD0F25B3
感染系統: Win9X以上系統
開發工具: Borland Delphi 5.0 KOL
加殼類型: Upack 2.4 - 2.9 beta -> Dwing
命名對照: ewido[Worm.Viking.n]
驅逐艦[Win32.HLLW.VKing.4]
傳播過程
1、釋放下列副本與檔案
%Windir%\ MH_FILE\ MH_DLL.dll Trojan-PSW.Win32.WOW.ey
%Windir%\MickNew\MickNew.dll
%Windir%\TODAYZTKING\TODAYZTKING.DLL’
%Windir%\_desktop.ini
%Windir%\1.txt
%Program Files%\_desktop.ini
%Windir%\0Sy.exe
%Windir%\1Sy.exe Trojan-PSW.Win32.WOW.ek
%Windir%\2Sy.exe Trojan-PSW.Win32.WOW.ek
%Windir%\Logo1_.exe Worm.Win32.Viking.n
%Windir%\rundl132.exe Worm.Win32.Viking.n
%桌面%vDll.dll Worm.Win32.Viking.n
2、新建註冊表鍵值:
在此鍵值下新建若干病毒釋放檔案相關鍵值
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
鍵值:字串:”Load”= “C:\WINDOWS\rundl132.exe”
3、連線下列地址,試圖下載檔案
http://www.****.com(61.152.**.22)//tools/zt.exe
http://www.****.com(61.152.**.22//tools/wow.txt
4、嘗試執行下列命令
net stop "kingsoft antivirus service"
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
rundl132.exe
(2) 刪除病毒檔案
%Windir%\ MH_FILE\ MH_DLL.dll %Windir%\MickNew\MickNew.dll
%Windir%\TODAYZTKING\TODAYZTKING.DLL’
%Windir%\_desktop.ini
%Windir%\1.txt
%Program Files%\_desktop.ini
%Windir%\0Sy.exe
%Windir%\1Sy.exe
%Windir%\2Sy.exe
%Windir%\rundl132.exe
%桌面%vDll.dll
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
鍵值:字串:”Load”= “C:\WINDOWS\rundl132.exe”
(4)使用木馬防線描所有.EXE檔案,清除病毒.
