(Lungfish)中Worm.Viking病毒的處理方法

一位朋友Lungfish最近在瀏覽大陸某網站時 中了一個病毒

雖然當時他有安裝卡巴斯基的防毒軟體 但是卻無法阻擋這個病毒 因為病毒似乎有強大的變種

這個病毒的可怕之處 就是它會感染及癱瘓電腦中所有的執行檔 而且幾乎救不回來

因此他希望他的這個慘痛經驗 還有他這幾天尋找的一些預防方法(做三個假檔案)

我可以放上來我的網誌 提供給更多朋友參考及警惕!!!

————————————————————————

這幾天透過卡巴斯基才知中了特洛伊病毒trojan-downloader.win32.delf.bbp

電腦的EXE檔全中毒(全部硬碟) 暫時只能隔離(因無法還原只能del)

不然就要重新分割並格式化硬碟了

此病毒會製造三個主要檔案 rundl132.exe(是rundl+132不是L32),logo_1.exe,

vdll.dll,故可在電腦中毒前作假檔案(空文件,設不可更改,不可讀,不可刪除)

於SystemRoot(for xp 如C:\WINDOWS下)以防萬一

以下是從網路找到的資料

—————————————-
病毒別名: Worm.Viking.m

中文名稱: 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

Windows目錄下會出現vdll.dll、logo1_.exe、rundl132.exe文件，

感染幾乎所有exe程式文件，應用程式圖示出現混亂目錄下還會

有_desktop.ini隱藏文件。

病毒行為:

該病毒載Windows平臺下集成可執行文件感染、網路感染、下載網路木馬或其他病毒的
X型病毒，病毒運行後將自身偽裝成系統正常文件，以迷惑用戶，通過修改註冊表項使病毒
開機時可以自動運行，同時病毒通過線程注入技術繞過防火牆的監視，連接到病毒作者指定

網站下載特定的木馬或其他病毒，同時病毒運行後枚舉內網的所有可用共用，並嘗試通過弱
口令方式連接感染目標電腦。

運行過程過感染用戶機器上的可執行文件，造成用戶機器運行速度變慢，破壞用戶機器
的可執行文件，給用戶安全性構成危害。

病毒主要通過共用目錄、文件捆綁、運行被感染病毒的程式、可帶病毒的郵件附件等方
式進行傳播。

1、病毒運行後將自身複製到Windows文件夾下,檔案名:

%SystemRoot%\rundl132.exe

2、運行被感染的文件後，病毒將病毒體複製到以下文件:

%SystemRoot%\logo_1.exe

3、同時病毒會在病毒文件夾下生成:

病毒目錄\vdll.dll

4、病毒從Z盤開始向前搜索所有可用分區中的exe文件，然後感染所有大小27kb-10mb的
可執行文件，感染完畢在被感染的文件夾中生成:

_desktop.ini (文件屬性:系統、隱藏。)

5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通過添加如下註冊表項實現病毒開機自動運行:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“load”=”C:\\WINNT\\rundl132.exe”

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

“load”=”C:\\WINNT\\rundl132.exe”

7、病毒運行時嘗試查找表單名:”RavMonClass”的程式，查找到表單後發送消息關閉該
程式。

8、枚舉以下殺毒軟體進程名，查找到後終止其進程:

Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:

net stop “Kingsoft AntiVirus Service”

10、發送ICMP探測資料”Hello,World”，判斷網路狀態，網路可用時，

枚舉內網所有共用主機，並嘗試用弱口令連接[url=file://\\IPC$]\\IPC$[/url]、\a
min$等共用目錄，連接成功後進行網路感染。

11、感染用戶機器上的exe文件，但不感染以下文件夾中的文件:

system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚舉系統進程，嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:

Explorer
Iexplore

找到符合條件的進程後隨機注入以上兩個進程中的其中一個。

13、當外網可用時，被注入的dll文件嘗試連接以下網站下載並運行相關程式:

http://www.17**.com/gua/zt.txt保存為:c:\1.txt
http://www.17**.com/gua/wow.txt保存?:c:\1.txt
http://www.17**.com/gua/mx.txt保存?:c:\1.txt
http://www.17**.com/gua/zt.exe保存?:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe保存?:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe保存?:%SystemRoot%\2Sy.exe

注:三個程式都是木馬程式

14、病毒會將下載後的”1.txt”的內容添加到以下相關註冊表項:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
“auto”=”1”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
“ver_down0″=”[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++”
“ver_down1″=”[boot loader]
timeout=30

[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\”Microsoft Windows XP Professi
onal\” ////”
“ver_down2″=”default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS

[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\”Microsoft Windows XP Professi
onal\” /////”

———————————————————————

!!!!!!!!!!!!!!!!清毒採用方法:!!!!!!!!!!!!!!

1/刪除病毒主程序及相關病毒exe,dll

2/刪除本機所有_desktop.ini垃圾文件

3/刪除或清除受本毒感染的所有Exe應用程式(遊戲,下載軟體,QQ軟體等?主)

4/禁止運行相關病毒程式

5/建虛擬病毒空文件,設不可更改,不可讀,不可刪除 (在中毒前)

6/裝上好的殺毒軟推上

7/更新防護

8/安全檢查

(這此病毒的厲害之處在於它自身是由感染可執行文件的毒病和通網路傳播並以

木馬形式存在的多元給合，有時候重裝系統都不行，只能把整個硬碟重新分區

了才可以完全清除)

解決方案(以下皆無法完全清除):

方法一:

將c:/winnt/system32/cmd.exe 更改成 cmd.com

點擊star — run 輸入cmd

在命令提示符下面輸入:assoc .exe=exefile

此時應該可以打開norton運行程式，升級norton病毒庫定義文件

掃描整個硬碟後，將掃描出來的病毒，手動清除(delete)。

進安全模式手動清除以下文件:

logo_1.exe

rundl132.dll

vdll.dll

方法二:

專殺工具:http://db.kingsoft.com/download/3/

清除效果有待驗證，此病毒十分頑固。

威金病毒 logo1_.exe專殺 vdll.dll、logo1_.exe、rundl132.exe

方法三:

徹底根治worm.viking (logo1_.exe)系列病毒的方案:

1.進F8進入安全模式。利用瑞星2006年7月升級的殺毒軟體，

配合木馬殺客(http://www.mmsk.cn)、

瑞星專殺威金病毒工具(VirusKiller 瑞星官方網站可下載到)徹底掃描硬碟進行清除。

如不放心那些已經感染的常用軟體，可以卸載它們，在病毒徹底清理之後重新安裝。

2.下載 http://www.xywxkj.com/viking.rar(檔案有毒)

3.RAR解壓，把文件夾virus裏的文件複製到C:\windows\當中。檔案名和病毒名一樣，
但都是0位元組(空文件)，不必擔心。

4.運行logo1virus.bat，自動將剛才放到C:\windows\下的那些文件加上系統、隱藏、唯讀
三個屬性。這樣就可以預防威金病毒了，也就是說，即使你的電腦中了威金病毒，
也不可能發作，是100%不可能!

5.(這步可以省略)為了雙保險，XP專業版或2003 Server系統可以進行下一步
:開始→運行→gpedit.msc。用戶配置→管理模板→系統:不要運行指定的windows程式。
啟用。然後在下面顯示那裏把virusname.txt裏面的檔案名都加上。

6.把所有客戶機的server服務一定要禁止，可以防止病毒在局域網內傳播，
如果伺服器要開共用的話，也一定要設定比較複雜的密碼，並設定好許可權。

最後推薦使用最強的殺木馬軟體Ewido進行全盤殺毒!

ewido版官方下載地址:
http://download.ewido.net/ewido-setup.exe
安裝後先升級病毒庫,再運行殺毒!
最好進入安全模式殺毒

整理 By Lungfish at 2006.11.14