|
该病毒是一种运行在Windows平台下,集成“可执行文件感染”、“网络感染”、“下载网络木马或其它病毒”的复合型病毒,具有极强的破坏性。该病毒主要通过共享目录、弱密攻击、感染系统文件、做为邮件的附件等方式进行传播。 病毒运行后将自身伪装成系统正常文件,通过修改用户系统注册表项使病毒开机时即刻自动运行;同时,该病毒利用“线程注入技术”绕过网络防火墙的监视,连接到病毒作者指定的网站,下载特定的木马或其它病毒。感染该病毒后,病毒会从Z盘开始向前搜索所有可用分区中的.exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕,会在被感染的文件夹中生成一个处于隐藏状态的系统文件:_desktop.ini,如果您的系统中发现此文件,表明您的系统可能已感染此病毒。 下面是病毒的详细资料:
病毒名称: Worm.Win32.Viking.p
病毒类型: 蠕虫
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公开范围: 完全公开
危害等级: 中
文件长度: 1,025,308 字节
感染系统: windows98以上版本
开发工具: Borland Delphi V3.0
加壳类型: Upack 2.4 - 2.9 beta
命名对照: Symentec[W32.Looked.P]
Mcafee[无] 该病毒属蠕虫类,病毒运行后释放病毒文件%WINDDIR%\rundl132.exe、系统盘根目录\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,会在大量文件夹中释放文件_desktop.ini;连接网络,开启端口,下载病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;开启进程conime.exe及其自身,注入到进程explorer.exe中,修改注册表,添加启动项,以达到随机启动的目的;感染大部分非系统文件;病毒把自身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、病毒运行后释放病毒文件: %WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
系统根目录\_desktop.ini
系统根目录\1.txt
系统根目录\MH_FILE\MH_DLL.dll
系统根目录\TODAYZTKING\TODAYZTKING.dll
会在大量文件夹中释放文件_desktop.ini 2、连接网络,开启端口,下载病毒文件:
协议:TCP
IP:61.152.116.22
本地端口:随机开启本地1024以上端口,如:1156
下载病毒文件:
路径名:
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs
3、开启进程conime.exe及其自身,注入到进程explorer.exe中。
4、修改注册表,添加启动项,以达到随机启动的目的: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
键值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
键值: 字串: "1" 5、感染大部分非系统文件,不感染下列文件夹中的文件: system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information 6、病毒尝试终止相关杀病毒软件。 7、病毒把自己身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行
一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序。 8、病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
| 
皖公网安备34150102000243号
IP卡
狗仔卡
发表于 2006-10-18 06:29
显身卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶