Worm.Viking
這幾天一直看到不少求援的帖子,從帖子內容看一直都只認為是個QQ尾巴,通過QQ自動發送如下消息:
看看啊. 我最近的照片~ 才掃瞄到QQ象冊上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG時注意到rundl132.exe這個文件,此外,某個殺軟會不斷提示logo_1.exe這個東西。
拿到樣本後才知道不是這麼簡單,各大殺軟都對這個病毒做了應急處理。參考各殺軟廠商的分析結果做如下簡介:
病毒被啟動後,釋放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll
新增以下啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\WINNT\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\WINNT\rundl132.exe"
感染所有分區下大小27KB-10MB的可執行文件(但不感染系統資料夾和programe files資料夾下的文件),並在被感染的資料夾中產生_desktop.ini。資料夾裡如果發現這個東西的話,恭喜恭喜,估計十有八九已遭遇不幸了。感染後,可能會造成某些網友說的「EXE文件圖示變花」。
通過不安全的共享網路傳播,網路可用時,枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網路感染。
結束一些國內的反病毒軟件工作行程,如毒霸,瑞星,木馬客星等。
vdll.dll注入Explorer或者Iexplore工作行程,當外網可用時,下載其他木馬程式(比如那個WINLOGON系列的變態木馬)。
小空在這裡提醒大家,對這個病毒防範勝於查殺。部分殺軟對感染該病毒的EXE文件採取的方法是直接刪除,這可不是件好事。因此,小空建議你,及時升級你的殺軟,並打開實時監控;安裝一款防火牆;關閉不必要的網路共享;通過線上更新等給系統打好修正檔;給管理員帳戶加上足夠強壯的密碼;對於來歷不名的文件不要隨意執行。
昨天把拿到的樣本看了下,抓圖如下:rundl132.exe為病毒文件,thunder是原迅雷的主程式VThunder為感染後文件。winhex打開,抓圖如下,可以看出,頭寄生。offset刪除至00069E6後,VThunder即可還原為thunder了。
一點補充
給圖片加上說明更好。
金山
http://vi.db.kingsoft.com/index.shtm...tion=viewgraph
Symantec
http://www.symantec.com/avcenter/ven....looked.h.html
http://securityresponse.symantec.com....looked.i.html