基本介紹
- 中文名:Worm.Win32.Viking.p
- 病毒類型:蠕蟲
- 公開範圍: 完全公開
- 危害等級:中
基本信息,病毒描述,行為分析,清除方案,
基本信息
病毒標籤:
病毒名稱: Worm.Win32.Viking.p
病毒類型: 蠕蟲
檔案 MD5: E939658C090087B08A1CD498F2DB59B3
公開範圍: 完全公開
危害等級: 中
檔案長度: 1,025,308 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi V3.0
加殼類型: Upack 2.4 - 2.9 beta
命名對照: Symentec[W32.Looked.P]
Mcafee[無]
病毒描述
該病毒屬蠕蟲類,病毒運行後釋放病毒檔案%WINDDIR%\rundl132.exe、系統盤根目錄\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,會在大量資料夾中釋放檔案_desktop.ini;連線網路,開啟連線埠,下載病毒檔案%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;開啟進程conime.exe及其自身,注入到進程explorer.exe中,修改註冊表,添加啟動項,以達到隨機啟動的目的;感染大部分非系統檔案;病毒把自身加入到要感染的程式,在被感染的程式運行時,病毒也同時運行,但在運行一次後自動釋放病毒體,被感染檔案也恢復正常,隔段時間後病毒會再次感染此應用程式;病毒嘗試終止相關殺病毒軟體;病毒主要通過已分享資料夾、檔案捆綁、運行被感染病毒的程式、可帶病毒的郵件附屬檔案等方式進行傳播。
行為分析
1、病毒運行後釋放病毒檔案:
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統根目錄\_desktop.ini
系統根目錄\1.txt
系統根目錄\MH_FILE\MH_DLL.dll
系統根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量資料夾中釋放檔案_desktop.ini
2、連線網路,開啟連線埠,下載病毒檔案:
協定:TCP
IP:61.152.116.22
本地連線埠:隨機開啟本地1024以上連線埠,如:1156
下載病毒檔案:
路徑名:
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs
3、開啟進程conime.exe及其自身,注入到進程explorer.exe中。
4、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"
5、感染大部分非系統檔案,不感染下列資料夾中的檔案:
system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
6、病毒嘗試終止相關殺病毒軟體。
7、病毒把自己身加入到要感染的程式,在被感染的程式運行時,病毒也同時運行,但在運行
一次後自動釋放病毒體,被感染檔案也恢復正常,隔段時間後病毒會再次感染此應用程式。
8、病毒主要通過已分享資料夾、檔案捆綁、運行被感染病毒的程式、可帶病毒的郵件附屬檔案等方式進行傳播。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系統根目錄\_desktop.ini
系統根目錄\1.txt
系統根目錄\MH_FILE\MH_DLL.dll
系統根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量資料夾中釋放檔案_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"
