vipdos.exe是一个网友发来的样本。卡巴斯基2006年9月13日13点的病毒库不报毒。

一、vipdos.exe运行后释放下列文件：
C:\windows\system32\vipdos.exe
C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\STIJKLAB
desktop.ini
ip[1].htm
vrius_search[1].htm
vrius_tools[1].htm

desktop.ini的内容为：
[.ShellClassInfo]
UICLSID={7BD29E00-76C1-11CF-9DD0-00A0C9034933}

ip[1].htm的内容为：
<script src='http://s66.cnzz.com/stat.php?id=254175&web_id=254175&show=pic' language='JavaScript' charset='gb2312'></script>
<iframe src="http://www.viph.net/ip.htm" width="0" height="0" frameborder="0"> </iframe>

vrius_search[1].htm的内容（图1）

vrius_tools[1].htm的内容（图2）

二、通过不固定的端口，访问多个IP地址，下载多种病毒、木马（包括“威金”、“密西”等恶性病毒，图3）。


三、注册表修改：
在：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
添加：C:\windows\system32\vipdos.exe           
在：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
添加："C:\\windows\\system32\\vipdos.exe"="C:\\windows\\system32\\vipdos.exe:*:Enabled:Microsoft (R) Internetal IExplore"
在：HKEY_CLASSES_ROOT\CLSID\
添加：{7BD29E00-76C1-11CF-9DD0-00A0C9034933}
在：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
添加："{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Internet 临时文件"

四、查杀：
1、结束进程C:\windows\system32\vipdos.exe
2、删除vipdos.exe添加的注册表项。
3、删除C:\windows\system32\vipdos.exe以及C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\STIJKLAB文件夹的全部文件。
4、中招后，重启系统前，下载到%windows%文件夹中的病毒可直接删除（见图3）。

图1

图2

图3

引用:

【影子110的贴子】老版~~~ 这个样本可以给我一个吗~~想见识一下威金~~(是那个logo1_.exe 和rundl1.exe吧~~) xue_mai_qi@163.com ………………

样本已经发到“萧心”：http://bbs.52happy.net/read.php?tid=211562

引用:

【deadmanzj的贴子】猫叔，那些威金什么的毒在重启前是不运行的吧 这么厉害的毒，给偶看看gudugd@yahoo.com.cn ………………

要样本，看5楼。

引用:

【影子110的贴子】 baohe~帮忙~ 无法注册~~好像要注册会员邀请~~ ………………

找小聪要。
他下载了。
我的邮箱故障——只能写、发普通邮件，但不能附加附件了，今天。
估计是那N个没有加密的附件中的病毒文件闹的。yahoo对我不客气了

引用:

【影子110的贴子】 不上传在群共享空间里?? ………………

我不玩儿QQ。
你不知道？

有倒霉的了——