| |||
登录  注册
搜索
|
|
 珞珈山水BBS →
电脑网络 →
系统安全 →
单文区文章阅读
|
| 单文区文章阅读 [返回] |
|---|
|
发信人: ThinkPad (会思考的本子……), 信区: Security 标 题: Re: 中了最恶毒的维金(Worm.Viking)病毒么办? 发信站: 珞珈山水BBS站 (Thu Nov 16 12:30:32 2006), 站内 【 以下文字转载自 Hardware 讨论区 】 发信人: ILoveSor (杀死巴尔的仆从!), 信区: Hardware 标 题: Re: 中了最恶毒的维金(Worm.Viking)病毒么办? 发信站: 珞珈山水BBS站 (Mon Oct 2 22:26:54 2006), 转信 维金Worm.Viking病毒及_desktop.ini的删除 注意:中毒后不要重启电脑,用以下办法清除、删除病毒后,重启电脑并按F8键选择“最后一次正确的配置”来修复病毒所带来的负面影响。。。 一、病毒特点: 威胁级别:★★ 病毒类型:蠕虫 影响系统:Win 9x/ME Win 2000/NT Win XP Win 2003 病毒行为:该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。 病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。 1、病毒运行后将自身复制到Windows或相关文件夹下,名为rundl132.exe或者rundll32.exe。 2、病毒运行后,将病毒体复制到windows目录下为logo_1.exe、vdll.dll及zvdll.exe等文件。 4、病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染,症状就是文件 图标被修改,在所有文件夹中生成_desktop.ini 文件(属性:系统、隐藏)。 5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。 6、病毒通过添加如下注册表项实现病毒开机自动运行: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\rundl132.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe" 7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。 8、枚举以下杀毒软件进程名,查找到后终止其进程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe 9、病毒尝试利用以下命令终止相关杀病毒软件: net stop "Kingsoft AntiVirus Service" 10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机, 并尝试用弱口令连接IPC$、admin$等共享目录,连接成功后进行网络感染。 11、不感染系统文件夹中的文件,如windows、system、system32、winnt等等。 12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程。 13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:  http://www.17**.com/gua/zt.txt 保存为:c:\1.txt http://www.17**.com/gua/wow.txt 保存为:c:\1.txt http://www.17**.com/gua/mx.txt 保存为:c:\1.txt http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe 注:三个程序都为木马程序 14、修改注册表将启动文件及内容添加到以下相关注册表项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]目录下的运行rundll32.exe的值。 [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] "auto"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows] "ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++" "ver_down1"="[boot loader] timeout=30 [operating systems] multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////" "ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////" 二、专杀工具下载 瑞星专杀下载 金山专杀下载 三、清除病毒 首先结束rundl132.exe、rundll32.exe、logo_1.exe及其他陌生进程,删除注册表启动项里的病毒键值及相对应文件夹中的病毒文件,再用专杀工具清除病毒,最后就是删除_desktop.ini文件了。该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,从硬盘分区搜索不到,一个个文件夹搜索删除又太费劲,因此在这里要用到一个批处理命令del C:\_desktop.ini /f/s/q/a,该命令的作用是在杀掉viking病毒之后清理系统内残留的文件,命令解释: 强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除 /f 强制删除只读文件 /q 指定静音状态。不提示您确认删除 /s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名 /a 是按照属性来删除 使用方法是开始/运行/cmd.exe,输入以上命令即可,首先是删除C盘中的_desktop.ini,然后依此删除另外分区中的_desktop.ini文件。 至此,该病毒对机器造成的影响全部消除, 【 在 gjqmm (冰儿) 的大作中提到: 】 : ※ 修改:·gjqmm 於 Oct 2 18:32:33 2006 修改本文·[FROM: 222.20.223.*] : ※ 来源:·珞珈山水BBS站 http://bbs.whu.edu.cn·[FROM: 222.20.223.*] -- 当年的第一回帖高手又回来了 ... ※ 来源:·珞珈山水BBS站 bbs.whu.edu.cn·[FROM: 221.235.37.*] |
| [返回单文区目录] |
|
|
