蠕虫Worm.Win32.Viking.i的查杀 bbs.ikaka.com

baohe - 2006-5-11 16:17:00

【注】忘记是谁发给我的样本了。样本的名字是BDLiveUpdate.exe。

查杀：
1、自己动手，在SSM“规则”中添加三条规则（见图1红框），禁止病毒程序运行。
2、重启系统。删除病毒文件（图2）。
3、清理注册表（图3）。

图1

附件: 1558472006511161740.jpg

baohe - 2006-5-11 16:18:00

图2

附件: 1558472006511161827.jpg

baohe - 2006-5-11 16:19:00

图3

附件: 1558472006511161905.jpg

仙界小帅 - 2006-5-11 16:20:00

简洁明了.....顶

fzjsoft - 2006-6-1 17:49:00

不能看图？？？

ぷ╮啊呀呀╭ぷ - 2006-6-1 19:13:00

不错不错

蝶非碟 - 2006-6-1 22:50:00

谢谢楼主，但是不能完全清理干净！

希望瑞星出worm.viking病毒的专杀工具

龙飞扬 - 2006-6-2 8:22:00

好

baohe - 2006-6-2 8:51:00

引用:

【蝶非碟的贴子】谢谢楼主，但是不能完全清理干净！

希望瑞星出worm.viking病毒的专杀工具
...........................

这个帖子说的是Worm.Win32.Viking.i
不知你说的“不能完全清理干净”的那个病毒是否是这个变种。
这个蠕虫的变种较多。
如果自己对付不了，请将病毒的.exe文件打包（解压密码用virus），发到：baohelin@yahoo.com.cn。帮你想办法。

Raul星仔 - 2006-6-2 17:56:00

我也中了，按照斑竹的方法删了文件，但是注册表没有load那一项，但是一上网，又回复到原来的情况了，所有exe都被感染．杀毒软件也用不了了，在瑞星在线查毒查出了以下病毒：
worm.viking.m
worm.viking.v
worm.viking.bo
Trojan.JS.DL.Agent.a
Trojan.DL.Agent.hmj
Trojan.DL.Agent.hrx
Trojan.PSW.ZhengTu.ab
Trojan.PSW.XYOnline.da
救命～
怎么杀啊？

闪电风暴 - 2006-6-2 20:37:00

学习了

轩辕小聪 - 2006-6-2 20:42:00

某天心血来潮，翻了翻baohe版主的帖子想学习一下，发现了这一篇，当时这个玩意还不流行，我把这个帖子收藏了，想不到这几天突然流行起来，马上派上了用场，呵呵。

JayFaye - 2006-6-2 21:03:00

这个病毒感染所有EXE文件，不过感染文件的大小好像有限制……，低于某个或高于某个限定大小的EXE文件将不予感染

JayFaye - 2006-6-2 21:07:00

蠕虫是在2006.5.9日的时候被Kaspersky那边截获的，差不多一个月的时间流传并广泛开始传播在国内，昨天瑞星紧急升级看来是对的，不过这也说明过内的反病毒软件的病毒监测网的劣质，或许国内的监测座得到位，可是对于其他的简直落后得无法形容。
或许单个病毒不能这么说，我夸大了吧~~~~~~~~~~~~~~~~~

刚才看了一下金山那边好像今天升级后可以查杀，目前没有KV，也不知道江民那边怎么样……

aaaa8 - 2006-6-3 9:42:00

lz,怎么样在ssm中添加规则呢？

laopang - 2006-6-3 13:48:00

引用:

【JayFaye的贴子】刚才看了一下金山那边好像今天升级后可以查杀，目前没有KV，也不知道江民那边怎么样……
...........................

呵呵，待会用kv测一下，我估计kv应该也有收到样本

thomas199900 - 2006-6-3 14:39:00

kan kan

thomas199900 - 2006-6-3 14:45:00

zm asoidasoijd o

shane22 - 2006-6-3 17:41:00

ssm 是什么啊？图１的那个怎么打开啊？

lingdyjing - 2006-6-3 18:50:00

查询IP：61.153.199.122
地理位置：浙江省台州市
我的瑞星网络杀毒软件经常发现了有蠕虫攻击，那个黑客的位置在这个地方，杀毒软件检测到的位置！

菜鸟2就是我 - 2006-6-4 9:24:00

Rootkit.AntiHide.b 这个病毒怎么杀？

720415 - 2006-6-4 11:48:00

logo1_.exe是另外一种病毒。

Virus.Win32.Delf.62976 Kaspersky报
W32/HLLP.Philis.j McAfee报
W32.Looked symantec报

希望瑞星能出专杀工具，一旦感染，EXE都不能用了！

哈尼宝儿 - 2006-6-5 15:44:00

请问版主我添加了那三个规则以后为什么在C\WINDOUS里找不到那三个文件?我没法删除,怎么办?请帮帮我

sasade - 2006-6-5 15:54:00

引用:

【哈尼宝儿的贴子】请问版主我添加了那三个规则以后为什么在C\WINDOUS里找不到那三个文件?我没法删除,怎么办?请帮帮我
...........................

木马文件是隐藏滴
要找木马
先要显示隐藏文件滴

哈尼宝儿 - 2006-6-5 16:16:00

sasde大哥我显示了隐藏滴文件咋还是没有捏？

无雪 - 2006-6-5 18:45:00

1、自己动手，在SSM“规则”中添加三条规则（见图1红框），禁止病毒程序运行。请问SSM规则在哪里进入?我网吧台台机器都中了Worm.Viking.bo 　告诉我怎么解决!万分感谢

色色空空 - 2006-6-6 11:58:00

就斑竹的方法应该解决不了问题的。Viking会感染可执行文件的，rundl132的代码会被插入到被感染的文件头，因此仅禁止rundl132是没用的。而且还通过不安全的网络共享传播，下载一堆的垃圾木马。建议斑竹重新分析下并提供个切实可行的解决办法。

baohe - 2006-6-6 12:22:00

引用:

【色色空空的贴子】就斑竹的方法应该解决不了问题的。Viking会感染可执行文件的，rundl132的代码会被插入到被感染的文件头，因此仅禁止rundl132是没用的。而且还通过不安全的网络共享传播，下载一堆的垃圾木马。建议斑竹重新分析下并提供个切实可行的解决办法。
...........................

这个样本是5月11日拿到的。用卡巴斯基查，报Worm.Win32.Viking.i。
关闭卡巴斯基，运行BDLiveUpdate.exe后，在C:\windows\下释放logo_.exe、rundl123.exe和vDll.dll三个病毒文件。但就是不感染任何目录下的所谓“27KB-10MB”的.exe文件（试验3次）。
为此，特意关闭TPF2005、SSM，再运行BDLiveUpdate.exe样本——结果还是一样。
当时，提供样本的朋友就警告过——这个蠕虫感染.exe文件。但我用这个样本感染系统后没发现这个问题。各硬盘分区的.exe文件一直可以正常运行。运行后也未见蠕虫复活。
结束logo_.exe进程后logo_.exe和rundl123.exe可直接删除。
vDll.dll由于插入了explorer.exe而不能直接删除。用IceSword强制解除插入explorer.exe的vDll.dll后，vDll.dll也可删除。
试了3次，所有目录下的.exe安然无恙，图标也不变花，照样正常运行。
我观察的这个样本与现在流行的是否相同，我不知道。因为我没有拿到现在流行的样本。手头有流行样本的朋友，可以对比一下病毒文件的MD5（本贴贴图中有这个病毒文件的MD5）。

ght2811 - 2006-6-6 18:25:00

大部份的网友反映会感染EXE文件

baohe - 2006-6-6 20:19:00

引用:

【ght2811的贴子】大部份的网友反映会感染EXE文件
...........................

不光是网友反应，就是各大杀软商的分析也是这个结论。
但是，我5月11日的观察（在XPSP2系统中运行木马样本）结果就是那样。我不能说我看到了我实际没看到的东西。仅此而已。

瑞星卡卡安全论坛