微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 发现病毒~紧急求助!  

 13  1/2  1  2  > 
作者:
标题: 发现病毒~紧急求助!
hj0801
新手上路





积分 2
发帖 2
注册 2006-10-2
#1  发现病毒~紧急求助!

今天一开机什么都没按KV就连着弹出好几个文件中病毒,上网一查也没找到相关信息。都是运行文件染上病毒,病毒名是worm/viking.cl,请问这是变种蠕虫吗?能够彻底查杀吗?
还有我的windos下也有个Dll.dll感染了worm/viking.ao,我看也有人感染了这个病毒,请问这个是什么病毒?

[ Last edited by hj0801 on 2006-10-2 at 15:39 ]

※ ※ ※ 本文纯属【hj0801】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-2 15:36
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请把文件压缩一下发到我们的邮箱:virus@micropoint.com.cn我们具体分析一下.

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2006-10-2 15:38
查看资料  发短消息   编辑帖子
hj0801
新手上路





积分 2
发帖 2
注册 2006-10-2
#3  

我所有被感染的文件经过杀毒都被定位成一25M的WORD文件图标的文件,病毒隔离区里的文件也都25M,我用的KV2006请问这是怎么回事?以前不是这样的。

※ ※ ※ 本文纯属【hj0801】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-2 15:49
查看资料  发送邮件  发短消息   编辑帖子
zqrsc
版主

反病毒区版主


积分 1133
发帖 1118
注册 2005-11-22
来自 .net
#4  

不是吧? 用的KV..
您装了微点没? 如果真的是味精 估计被感染的可执行程序大部分完蛋鸟。

※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~
2006-10-2 17:57
查看资料  发短消息  QQ   编辑帖子
david1126103
版主




积分 723
发帖 721
注册 2006-9-17
来自 美国
#5  



  Quote:
Originally posted by zqrsc at 2006-10-2 17:57:
不是吧? 用的KV..
您装了微点没? 如果真的是味精 估计被感染的可执行程序大部分完蛋鸟。

是威金


如果中的话,全盘格了重装吧...最好的办法

※ ※ ※ 本文纯属【david1126103】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-2 18:03
查看资料  发短消息   编辑帖子
tytxy
新手上路





积分 9
发帖 9
注册 2006-10-3
#6  

这个是最流行的病毒了,好多杀毒软件都可以查杀!

※ ※ ※ 本文纯属【tytxy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-3 21:29
查看资料  发送邮件  发短消息  QQ   编辑帖子
微点专家
版主

Weizi


积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
#7  

你可真幸运啊!!!你中的是威金蠕虫变种。

在安全模式下试试看能不能杀干净(几率很小,请使用扫描功能强大的杀毒软件)。如果不行,只有重装系统。


Worm.Viking.

病毒别名: 处理时间:2006-06-01 威胁级别:★★
中文名称: 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"


10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。

11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

[ Last edited by 微点专家 on 2006-10-4 at 06:23 ]

※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

做个性的自己
2006-10-4 06:12
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
囚中城
版主

微点茶室甜点师


积分 3808
发帖 3688
注册 2006-1-3
来自 拿灵魂换生命的地方
#8  

这么麻烦,还是重装吧

※ ※ ※ 本文纯属【囚中城】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2006-10-4 14:50
查看资料  发短消息  QQ   编辑帖子
nasdaq
版主

版主


积分 1140
发帖 1118
注册 2006-4-6
#9  



  Quote:
Originally posted by 微点专家 at 2006-10-4 06:12:
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"

这条可太那个啥了,毒霸居然没有做服务保护,可以命令行中止服务……

※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 19:16
查看资料  发短消息   编辑帖子

中级用户




积分 393
发帖 378
注册 2006-7-30
#10  

简单! 装个微点不就没事啦

※ ※ ※ 本文纯属【我】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 20:34
查看资料  发短消息   编辑帖子
 13  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号