資訊 - 威金（Worm.Viking）」病毒特點-專殺及_desktop.ini刪除

[psac]

威金（Worm.Viking）」病毒特點-專殺及_desktop.ini刪除


今天下午無意中發現電腦所有文件中出現了一個名為_desktop.ini的文件,上網查找才知道中了一種名為威金（Worm.Viking）的病毒,而安裝的江民殺毒軟件竟然殺不了,沒辦法了,只好上網查找解決方法,還真讓我給找到了,問題解決了,方法不敢獨享,介紹給機器出了同樣問題的人.
一、該病毒特點:
處理時間：2006-06-01 威脅級別：★★
病毒類型：蠕蟲 影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒為Windows平台下整合可執行文件感染、網路感染、下載網路木馬或其它病毒的複合型病毒，病毒執行後將自身偽裝成系統正常文件，以迷惑用戶，通過修改註冊表項使病毒開機時可以自動執行，同時病毒通過線程注入技術繞過防火牆的監視，連接到病毒作者指定的網站下載特定的木馬或其它病毒，同時病毒執行後枚舉內網的所有可用共享，並嘗試通過弱口令方式連接感染目標電腦。
執行過程過感染用戶機器上的可執行文件，造成用戶機器執行速度變慢，破壞用戶機器的可執行文件，給用戶安全性構成危害。
病毒主要通過共享目錄、文件捆綁、執行被感染病毒的程式、可帶病毒的郵件附件等方式進行傳播。
1、病毒執行後將自身複製到Windows資料夾下,文件名為:
　　%SystemRoot%\rundl132.exe
2、執行被感染的文件後，病毒將病毒體複製到為以下文件:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒資料夾下產生:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件，然後感染所有大小27kb-10mb的可執行文件，感染完畢在被感染的資料夾中產生:
_desktop.ini (文件內容:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通過新增如下註冊表項實現病毒開機自動執行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒執行時嘗試查找窗體名為:"RavMonClass"的程式，查找到窗體後發送消息關閉該程式。
8、枚舉以下殺毒軟件工作行程名，查找到後停止其工作行程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令停止相關殺病毒軟件：
net stop "Kingsoft AntiVirus Service"

10、發送ICMP探測資料"Hello,World"，判斷網路狀態，網路可用時，
枚舉內網所有共享主機，並嘗試用弱口令連接\\IPC$、\admin$等共享目錄，連接成功後進行網路感染。
11、感染用戶機器上的exe文件，但不感染以下資料夾中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統工作行程，嘗試將病毒dll(vdll.dll)選擇性注入以下工作行程名對應的工作行程:
Explorer
Iexplore
找到符合條件的工作行程後隨機注入以上兩個工作行程中的其中一個。
13、當外網可用時，被注入的dll文件嘗試連接以下網站下載並執行相關程式:
http://www.17**.com/gua/zt.txt 儲存為:c:\1.txt
http://www.17**.com/gua/wow.txt 儲存為:c:\1.txt
http://www.17**.com/gua/mx.txt 儲存為:c:\1.txt
http://www.17**.com/gua/zt.exe 儲存為:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe 儲存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 儲存為:%SystemRoot%\2Sy.exe
註：三個程式都為木馬程式
14、病毒會將下載後的"1.txt"的內容新增到以下相關註冊表項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
二、專殺工具
http://it.rising.com.cn/service/tech...RavVikiing.htm
三、刪除_desktop.ini
該病毒會在每個資料夾中產生一個名為_desktop.ini的文件，一個個去刪除，顯然太費勁，（我的機器的操作系統因安裝在NTFS格式下，所以系統硬碟下的資料夾中沒有這個文件，另外盤下的資料夾無一倖免），因此在這裡介紹給大家一個批處理命令 del d:\_desktop.ini /f/s/q/a，該命令的作用是：
強制刪除d盤下所有目錄內（包括d盤本身）的_desktop.ini文件並且不提示是否刪除
/f 強制刪除只讀文件
/q 指定靜音狀態。不提示您確認刪除。
/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
/a的意思是按照內容來刪除了
這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini文件用的
使用方法是開始--所有程式--附件--命令提示字元，鍵入上述命令（也可複製貼上去），首先刪除D盤中的_desktop.ini，然後依此刪除另外盤中的_desktop.ini。
至此，該病毒對機器造成的影響全部消除。


========================================================================================
>>>>這個存為批處理，可以迅速清理．但是屬於治標不治本．碰到一台電腦中了這個病毒，正常的realplayer被替換，偷偷在後台執行病毒，還有word,winrar等常用軟件被感染，無法執行．目前沒有治癒靈丹，只有重新安裝系統


@echo off
cls
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a

====================================================================================
>>>>>>免疫批處理


echo off
cls
echo.
echo logo1_.exe 免疫程式 請先替換"administrator"為您的當前用戶名！再執行該批處理。
echo administrator 原創，轉載請註冊出處bbs.wglm.net
pause
echo administrator > %systemroot%\Logo1_.exe
echo administrator >> %systemroot%\rundl132.exe
echo administrator >> %systemroot%\0Sy.exe
echo administrator >> %systemroot%\vDll.dll
echo administrator >> %systemroot%\1Sy.exe
echo administrator >> %systemroot%\2Sy.exe
echo administrator >> %systemroot%\rundll32.exe
echo administrator >> %systemroot%\3Sy.exe
echo administrator >> %systemroot%\5Sy.exe
echo administrator >> %systemroot%\1.com
echo administrator >> %systemroot%\exerouter.exe
echo administrator >> %systemroot%\EXP10RER.com
echo administrator >> %systemroot%\finders.com
echo administrator >> %systemroot%\Shell.sys
echo administrator >> %systemroot%\smss.exe
Cacls %systemroot%\Logo1_.exe /t /c /e /d administrator
Cacls %systemroot%\rundl132.exe /t /c /e /d administrator
Cacls %systemroot%\0Sy.exe /t /c /e /d administrator
Cacls %systemroot%\vDll.dll /t /c /e /d administrator
Cacls %systemroot%\1Sy.exe /t /c /e /d administrator
Cacls %systemroot%\2Sy.exe /t /c /e /d administrator
Cacls %systemroot%\rundll32.exe /t /c /e /d administrator
Cacls %systemroot%\3Sy.exe /t /c /e /d administrator
Cacls %systemroot%\5Sy.exe /t /c /e /d administrator
Cacls %systemroot%\1.com /t /c /e /d administrator
Cacls %systemroot%\exerouter.exe /t /c /e /d administrator
Cacls %systemroot%\EXP10RER.com /t /c /e /d administrator
Cacls %systemroot%\finders.com /t /c /e /d administrator
Cacls %systemroot%\Shell.sys /t /c /e /d administrator
Cacls %systemroot%\smss.exe /t /c /e /d administrator
cls
echo 恭喜免疫完成 by bbs.wglm.net administrator 原創
pause