Worm.Viking
 

Worm.Viking

這幾天一直看到不少求援的帖子，從帖子內容看一直都只認為是個QQ尾巴，通過QQ自動發送如下消息：
看看啊. 我最近的照片~ 才掃瞄到QQ象冊上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG時注意到rundl132.exe這個文件，此外，某個殺軟會不斷提示logo_1.exe這個東西。

拿到樣本後才知道不是這麼簡單，各大殺軟都對這個病毒做了應急處理。參考各殺軟廠商的分析結果做如下簡介：
病毒被啟動後，釋放以下文件：
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll

新增以下啟動項：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\WINNT\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\WINNT\rundl132.exe"

感染所有分區下大小27KB-10MB的可執行文件（但不感染系統資料夾和programe files資料夾下的文件），並在被感染的資料夾中產生_desktop.ini。資料夾裡如果發現這個東西的話，恭喜恭喜，估計十有八九已遭遇不幸了。感染後，可能會造成某些網友說的「EXE文件圖示變花」。

通過不安全的共享網路傳播，網路可用時，枚舉內網所有共享主機，並嘗試用弱口令連接\\IPC$、\admin$等共享目錄，連接成功後進行網路感染。

結束一些國內的反病毒軟件工作行程，如毒霸，瑞星，木馬客星等。

vdll.dll注入Explorer或者Iexplore工作行程，當外網可用時，下載其他木馬程式(比如那個WINLOGON系列的變態木馬)。

小空在這裡提醒大家，對這個病毒防範勝於查殺。部分殺軟對感染該病毒的EXE文件採取的方法是直接刪除，這可不是件好事。因此，小空建議你，及時升級你的殺軟，並打開實時監控；安裝一款防火牆；關閉不必要的網路共享；通過線上更新等給系統打好修正檔；給管理員帳戶加上足夠強壯的密碼；對於來歷不名的文件不要隨意執行。

昨天把拿到的樣本看了下，抓圖如下：rundl132.exe為病毒文件，thunder是原迅雷的主程式VThunder為感染後文件。winhex打開，抓圖如下，可以看出，頭寄生。offset刪除至00069E6後，VThunder即可還原為thunder了。













一點補充

給圖片加上說明更好。
金山
http://vi.db.kingsoft.com/index.shtm...tion=viewgraph
Symantec
http://www.symantec.com/avcenter/ven....looked.h.html
http://securityresponse.symantec.com....looked.i.html

謝謝大大無私的分享!!