金山命名为Worm.Viking.go的病毒,竟然瑞星杀不了,还说是病毒库更新到最新,连提示也不提示下!更被提杀毒了,害得我整个硬盘很多文件无法恢复,就算清除了,也跟原本的文件不一样了(从文件大小对比出,我对比MD5码也不一样了 ),气得我一框火,害我整个硬盘重要文件无法复原!
现在告示大家网友要留神啊!这是我的亲身体验,希望不要出现更多与我一样的网友。
刚开始我还不知道,系统提示硬盘分区满了,我就奇怪了,怎么我又没有存储文件,怎么自己满了,一查看容量剩余0,我就想起以前那种蠕虫病毒,查看下.exe的文件,对比下已经变了,后来我用“金山毒霸在线杀毒”一查 见图,气死我了!
大家可以用“金山毒霸在线杀毒”一查自己的电脑:
http://shadu.duba.net/?uid=27357&sid=&adid=412&adtype=42病毒别名:Worm.Viking.go 处理时间:2007-03-27 威胁级别:★★
中文名称:维金 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个windows平台下的感染型病毒,感染扩展名为.exe的文件,通过局域网传播自身,当外网可用时,会从指定的网址下载其他木马病毒
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\dll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、枚举系统进程,尝试将病毒dll(dll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
12、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.513**.com/ma/0.exe
http://www.513**.com/ma/1.exe
http://www.513**.com/ma/2.exe
http://www.513**.com/ma/3.exe
http://www.513**.com/ma/4.exe
http://www.513**.com/ma/5.exe
http://www.513**.com/ma/6.exe
http://www.513**.com/ma/7.exe
http://www.513**.com/ma/8.exe
http://www.513**.com/ma/9.exe
