廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 7565 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] Worm.Win32.Viking.p威金變種的查殺
Worm.Win32.Viking.p威金變種的查殺


常常碰到名爲“_desktop.ini”的一個隱藏文件。經查是一種叫做威金的蠕蟲病毒。它的症狀是感染10MB以下的可執行程序,表現爲改變程序的圖標,並且導致可執行程序不能被執行。計算機反應變慢,斷網等現象。通過網上下載的專殺工具試圖驅逐無果,刪是刪不掉的,它從你的計算機的最後一個盤向上不停的複制。似乎只有通從新分區後再做重做係統才會徹底。但是這樣,就丟了計算機上很多寶貴的東東。
這幾天被病毒害苦了,到處都是_desktop.ini
  
網上搜了一下。。基本搞定, 下面這個方法不錯。
批量刪除_desktop.ini的命令
現在使用DOS命令批量刪除_desktop.ini,如下:
  del d:\_desktop.ini /f/s/q/a
  強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除
  /f 強制刪除只讀文件
  /q 指定靜音狀態。不提示您確認刪除。
  /s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。
  /a的意思是按照屬性來刪除了
  這個命令的作用是在殺掉viking病毒之後清理係統內殘留的_desktop.ini文件用的

手動清除方案:
1、手工清除請按照行爲分析刪除對應文件,恢複相關係統設置。
(1) 使用“進程管理”關閉病毒進程
(2) 刪除病毒文件
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
係統根目錄\_desktop.ini
係統根目錄\1.txt
係統根目錄\MH_FILE\MH_DLL.dll
係統根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量文件夾中釋放文件_desktop.ini
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe
(3) 恢複病毒修改的注冊表項目,刪除病毒添加的注冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll
(3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"
下面是病毒的詳細資料:
病毒名稱: Worm.Win32.Viking.p
病毒類型: 蠕蟲
文件 MD5: E939658C090087B08A1CD498F2DB59B3
公開範圍: 完全公開
危害等級: 中
文件長度: 1,025,308 字節
感染係統: windows98以上版本
開發工具: Borland Delphi V3.0
加殼類型: Upack 2.4 - 2.9 beta
命名對照: Symentec[W32.Looked.P]
      Mcafee[無]
該病毒屬蠕蟲類,病毒運行後釋放病毒文件%WINDDIR%\rundl132.exe、係統盤根目錄\_desktop.ini、%Program Files%\_desktop.ini、桌面\viDll.dll,會在大量文件夾中釋放文件_desktop.ini;連接網絡,開啓端口,下載病毒文件%WINDDIR%\0sy.exe、%WINDDIR%\1sy.exe、%WINDDIR%\2sy.exe;開啓進程conime.exe及其自身,注入到進程explorer.exe中,修改注冊表,添加啓動項,以達到隨機啓動的目的;感染大部分非係統文件;病毒把自身加入到要感染的程序,在被感染的程序運行時,病毒也同時運行,但在運行一次後自動釋放病毒體,被感染文件也恢複正常,隔段時間後病毒會再次感染此應用程序;病毒嘗試終止相關殺病毒軟件;病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行後釋放病毒文件:
%WINDDIR%\rundl132.exe
%Program Files%\_desktop.ini
桌面\viDll.dll
係統根目錄\_desktop.ini
係統根目錄\1.txt
係統根目錄\MH_FILE\MH_DLL.dll
係統根目錄\TODAYZTKING\TODAYZTKING.dll
會在大量文件夾中釋放文件_desktop.ini
2、連接網絡,開啓端口,下載病毒文件:
協議:TCP
IP:61.152.116.22
本地端口:隨機開啓本地1024以上端口,如:1156
下載病毒文件:
路徑名:
%WINDDIR%\0sy.exe
%WINDDIR%\1sy.exe
%WINDDIR%\2sy.exe  
病毒名:
Trojan-PSW.Win32.WOW.ek
Trojan-PSW.Win32.WOW.fq
Trojan-PSW.Win32.WOW.fs

3、開啓進程conime.exe及其自身,注入到進程explorer.exe中。
4、修改注冊表,添加啓動項,以達到隨機啓動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
鍵值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: "ver_down0"="0.859: Source:C:\WINDOWS\system32\_0000012_.tmp.dll (3.0.3790.218001111)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down1"="0.687: 2006/06/13 20:52:04.23s444 (local)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
鍵值: 字串: " ver_down2"="0.859: Source:C:\WINDOWS\system32\_000006_.tmp.dll (3.0.3790.21801)"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
鍵值: 字串: "1"
5、感染大部分非係統文件,不感染下列文件夾中的文件:
system
system32
Documents and Settings
System Volume Information
Recycled
windor
Windows NT
WindowsUpdate
Windows Media Player
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
6、病毒嘗試終止相關殺病毒軟件。
7、病毒把自己身加入到要感染的程序,在被感染的程序運行時,病毒也同時運行,但在運行一次後自動釋放病毒體,被感染文件也恢複正常,隔段時間後病毒會再次感染此應用程序。
8、病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
注:% System%是一個可變路徑。病毒通過查詢操作係統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-19 01:25 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054173 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言