瑞星卡卡安全论坛

新威金41,319 字节，受感染文件头部会增加41,319*2=82,638字节大小，请大家注意安全！

2006-12-13 17:38

本贴出自我的博客：http://hi.baidu.com/killvir/blog/item/c45c1bd50bcfadc450da4b2e.html

样本大小：41,319 字节
SHA-160 : D1F7504D04FD0524B38F732BA3353B238831273C
MD5    : 8E2E8BBE0F607B51EA5E644F34F81F48
CRC-32  : 9A13D94A
加壳方式：Upack
发现时间：2006.12
卡巴斯基报毒：Worm.Win32.Viking.bg
传播方式：通过恶意网页传播、其它木马下载
样本分析：
\%windows%\Dll.dll
\%windows%\rundl132.exe
创建启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windows%\rundl132.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
感染特色：遍历目录感染exe文件，将自身捆绑在exe文件前端两次41,319 字节*2=82638字节，并在所到目录下生成_desktop.ini文件，图标资源不变（PS：病毒作者修正了这一点，为了迷惑受害者？）
生成%Windows%\Logo1_.exe常驻内存，并释放%Temp%\$$??.bat“还原”被感染文件，bat内容为：
:try1
Del "被感染文件.exe"
if exist "被感染文件.exe" goto try1
ren "被感染文件.exe.exe" "原文件.exe"
if exist "被感染文件.exe.exe" goto try2
"原文件.exe"
:try2
del "%Temp%\$$??.bat"
另外此威金病毒从网站下载的其它木马病毒不在讨论之列
hxxp://60.190.222.250/ma/0.txt
hxxp://60.190.222.250/ma/0.exe
hxxp://60.190.222.250/ma/1.txt
hxxp://60.190.222.250/ma/1.exe
hxxp://60.190.222.250/ma/2.txt
hxxp://60.190.222.250/ma/2.exe
hxxp://60.190.222.250/ma/3.txt
hxxp://60.190.222.250/ma/3.exe
hxxp://60.190.222.250/ma/4.txt
hxxp://60.190.222.250/ma/4.exe
hxxp://60.190.222.250/ma/5.txt
hxxp://60.190.222.250/ma/5.exe
hxxp://60.190.222.250/ma/6.txt
hxxp://60.190.222.250/ma/6.exe
hxxp://60.190.222.250/ma/7.txt
hxxp://60.190.222.250/ma/7.exe
hxxp://60.190.222.250/ma/8.txt
hxxp://60.190.222.250/ma/8.exe
hxxp://60.190.222.250/ma/9.txt
hxxp://60.190.222.250/ma/9.exe

清除步骤
==========
1. 建议使用反病毒软件清除，可以启动进入安全模式全盘扫描
2. 还可以使用Viking专杀工具


本贴出自我的博客：http://hi.baidu.com/killvir/blog/item/c45c1bd50bcfadc450da4b2e.html

学习中~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

顶一哈

强

瑞星已支持查杀并修复（看图）




附件: 24602220061214134918.JPG

【回复“艾玛”的帖子】
瑞星动作还是蛮快的嘛

谢楼主

引用:

【不言放弃的贴子】【回复“艾玛”的帖子】 瑞星动作还是蛮快的嘛 ………………

PS：有密渠道直接联系，加快反应处理速度

引用:

【艾玛的贴子】 PS：有密渠道直接联系，加快反应处理速度 ………………

呵呵

玛姐说话还是蛮有意思的

支持一下