| 引用: |
【色色空空的贴子】就斑竹的方法应该解决不了问题的。Viking会感染可执行文件的,rundl132的代码会被插入到被感染的文件头,因此仅禁止rundl132是没用的。而且还通过不安全的网络共享传播,下载一堆的垃圾木马。建议斑竹重新分析下并提供个切实可行的解决办法。
........................... |
这个样本是5月11日拿到的。用卡巴斯基查,报Worm.Win32.Viking.i。
关闭卡巴斯基,运行BDLiveUpdate.exe后,在C:\windows\下释放logo_.exe、rundl123.exe和vDll.dll三个病毒文件。但就是不感染任何目录下的所谓“27KB-10MB”的.exe文件(试验3次)。
为此,特意关闭TPF2005、SSM,再运行BDLiveUpdate.exe样本——结果还是一样。
当时,提供样本的朋友就警告过——这个蠕虫感染.exe文件。但我用这个样本感染系统后没发现这个问题。各硬盘分区的.exe文件一直可以正常运行。运行后也未见蠕虫复活。
结束logo_.exe进程后logo_.exe和rundl123.exe可直接删除。
vDll.dll由于插入了explorer.exe而不能直接删除。用IceSword强制解除插入explorer.exe的vDll.dll后,vDll.dll也可删除。
试了3次,所有目录下的.exe安然无恙,图标也不变花,照样正常运行。
我观察的这个样本与现在流行的是否相同,我不知道。因为我没有拿到现在流行的样本。手头有流行样本的朋友,可以对比一下病毒文件的MD5(本贴贴图中有这个病毒文件的MD5)。
