剛剛去查了一下記錄 10/31 中的毒(中毒的電腦是網咖的gameserver)
是 威金VIKING 的變種病毒(DEKTOP.INI的變種系列)
順便po它的相關資訊
中毒時會run的檔名 rundl132.exe,logo_1.exe,~.exe
手工清除病毒,註冊表之後,被感染的EXE文件依然無法清除。一旦運行被感染的exe文件,病毒再次發作。網上流傳的建立假病毒文件設為系統屬性免疫方法無效,殺毒軟件,專殺工具更無效。(除非你殺完毒,刪除你硬盤上的所有小於10M的exe 文件)
徹底解決方式,運行windows的自動更新,安裝2006年9月17日的更新補丁:windows xp KB917537安全更新。所有問題徹底解決。
Windows 2000:
http://download.microsoft.com/download/f/c/7/fc71d0c6-9346-...ws2000-KB917537-x86-CHS.EXEWindows XP:
http://download.microsoft.com/download/6/2/2/62259943-9b98...dowsXP-KB917537-x86-CHS.exe症狀:
註冊表加載 windows\rundl132.exe, 刪除後自動恢復.
進程中有logo_1.exe
執行EXE文件時,自動生成~exe文件,比如安裝setup.exe時,自動複製setup~.exe文件.
圖標變大變灰。
該毒最大的「優點」就是會自動查找你硬盤上的一些EXE文件(好像是隨機的)附加。(這種worm類病毒曾在DOS下是很讓人頭疼的事,曾是一個dir就感染了整個目錄。)這樣一來,即使你清掉內存中的病毒也於事無補,因為你總要運行電腦上的exe文件。
清除內存和病毒生成的文件後,又觀察了病毒的運行結果,發現病毒是在windows目錄下生成vdll.dll,logo1_.exe,rundl132.exe這三個文件。
又經過實驗,vdll.dll注入exeplorer.exe是由logo1_.exe來完成。病毒會在開機自動執行中加入rundl132.exe
病毒也是程序,只要不給它執行的空間,它就很乖了。
WINDOWS對內存中的程序文件都有保護機制,利用這個特點,可以搶在病毒之前,先執行兩個你開機必執行的程序,這樣病毒就無法產下自己的孩子了。
一、清除病毒文件和內存中的vdll.dll。
二、保證開機只運行必要的幾個進程。
三、無敵小鬧鐘改名為logo1_.exe放在windows目錄下,並立刻執行,然後在註冊表中加入開機執行它。
四、把windows\system32下的ctfmon.exe,複製到windows目錄下,並改名為rundl132.exe,並立即執行。
大功告成!!!病毒的兩個孩子名字logo1_.exe,rundl132.exe由於被你搶先佔用了,它們只好死好娘肚子裡,哇哈哈哈。(是不是太殘忍,如果你不忍心,就讓它們出來吧)
這病毒會讓你的某些EXE不能正常運行,如果某個軟件不能正常運行,你重新安裝就是了,病毒再沒有機會發作了
-----------------------------------------------------------------------------------------------------------------------------------------
W32.Looked
該病毒臨床症狀:
1.感染所有的EXE文件
2.W32.Looked.I 蠕蟲,執行後會在系統生成:%Windir%
undl132.exe, %CurrentFolder%vDll.dll 等病毒文件; 並在註冊表添加系統服務隨系統啟動,試圖終止安全相關的程序,終止系統重要進程,注入自身到DLL組件,vdll.dll到iexplore.exe,explore.exe,全盤搜索.exe文件,並注入自身到這些文件,無法清除, 使系統文件全部都染病毒
3.中止大部分的殺毒軟件進程,諾頓可以隔離。但是結果是EXE文件全部執行不了
4.在共享的打印機上不停的打印,內容為當天日期
5.在C:\winnt 或是 windows生成Logo1_.exe , rundl132.exe,bootconf.exe幾個文件,感染應用程序的速度非常快,只要你一用到某個應用程序,馬上就會被感染,並且Logo1_.exe 會變成此應用程序的圖標.
6.在局域網內部中傳播相當快,能通過信使傳播,但已禁用信使的電腦也能被感染,不知道它有多少傳播途徑.
7.被感染的機子很難清除乾淨,在某些電腦上的每一個文件夾還會有一個 _desktop 的記事本文件,內容為當前日期
病毒特性:
Win32.Looked.S是一種通過網絡共享感染文件的蠕蟲。它是大小為27,075字節,以Upack格式壓縮的Win32可運行程序。它生成一個23,040字節的DLL文件,用來下載並運行二進制運行程序。
感染方式:
運行時,Win32.Looked.S使用以下文件名複製到%Windows%目錄:
rundl132.exe Logo1_.exe
註:%Windows%是一個可變路徑。病毒通過查詢操作系統來決定當前Windows文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me中默認的安裝路徑是C:\Windows,windowsXP中默認的安裝路徑是C:\Windows。
它還會修改註冊表,為了在每次系統啟動時運行"rundl123.exe"文件:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\rundl132.exe"隨後,蠕蟲在當前目錄生成一個DLL文件"vDll.dll"。它會注入Explorer程序,並被用來下載和在Explorer程序中啟動程序。
蠕蟲還會生成"SemaphoreMe",以確保每次只有一個副本運行。
傳播方式 :
通過感染文件傳播
Looked.S在硬盤的z:/ 到 c:/ 驅動器循環搜索。它從本地根目錄開始,感染擴展名為.exe的文件。蠕蟲預謀自己到目標文件,並將文件大小增長到27,075字節。蠕蟲不感染超過10,485,760字節的文件,或者帶有以下名稱的子文件夾中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
\Program Files\Windows NT
\Program Files\WindowsUpdate
\Program Files\Windows Media Player
\Program Files\Outlook Express
\Program Files\Internet Explorer
\Program Files\ComPlus Applications
\Program Files\NetMeeting
\Program Files\Common Files
\Program Files\Messenger
\Program Files\Microsoft Office
\Program Files\Install Shield Installation Information
\Program Files\MSN
\Program Files\Microsoft Frontpage
\Program Files\Movie Maker
\Program Files\MSN Gaming Zone
蠕蟲還會在每個經過的目錄中生成一個名為"_desktop.ini"的文件。這個文件包含系統日期,是無害的txt文件。
通過網絡共享傳播
蠕蟲嘗試通過IPC$ 和 admin$共享進行傳播,使用'administrator'用戶名和空口令。它還會嘗試很多自帶的用戶名和密碼,包括一個空用戶名和口令。
蠕蟲通過發送包括"Hello,World"數據的ICMP信息包到本地C類地址段目標IP地址來探測潛在目標。
危害
下載並運行任意文件
蠕蟲從"17dk.com"域下載很多文本和二進制文件。它還會嘗試下載2個文本文件和2個運行文件。二進制運行文件下載到%Windows%目錄,並隨後運行。
終止進程
Looked.S會終止以下運行的進程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe
停止服務
如果以下服務在系統上運行,蠕蟲將停止這個服務:
Kingsoft AntiVirus Service
關閉窗口
Looked.S搜索帶有"Ravmon.exe"標題的窗口,類別名為"RavMonClass"。如果找到,蠕蟲就會關閉這個窗口。
主要症狀:
1、佔用大量網速,使機器使用變得極慢。
2、會捆綁所有的exe文件,只要一運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出一些程序框,有時候應用程序一起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及xp系統都不感染。
5、能繞過所有的還原軟件。
詳細技術信息:
病毒運行後,在%windir%生成 logo1_.exe 同時會在windws根目錄生成一個名為virdll.dll的文件。
%windir%virdll.dll
該蠕蟲會在系統註冊表中生成如下鍵值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
盜取密碼
病毒試圖登陸並盜取被感染計算機中網絡遊戲的密碼,將遊戲密碼發送到該木馬病毒的植入者手中。
阻止以下殺毒軟件的運行
病毒試圖終止包含下列進程的運行,這些多為殺毒軟件的進程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的殺毒軟件運行。國產軟件在中毒後都被病毒殺死,是病毒殺掉-殺毒軟件。如金山,瑞星等。哪些軟件可以認出病毒。但是認出後不久就陣亡了。通過寫入文本信息改變%system%driversetchosts 文件。這就意味著,當受感染的計算機瀏覽許多站點時(包括眾多反病毒站點),瀏覽器就會重定向到66.197.186.149。
病毒感染運行windows操作系統的計算機,並且通過開放的網絡資源傳播。一旦安裝,蠕蟲將會感染受感染計算機中的.exe文件。該蠕蟲是一個大小為82k的windows pe可執行文件。通過本地網絡傳播該蠕蟲會將自己複製到下面網絡資源:
admin$
ipc$
症狀
蠕蟲會感染所有.exe的文件。但是,它不會感染路徑中包含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt
蠕蟲會從內存中刪除下面列出的進程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
