近期有一個名為“威金蠕蟲變種DR - Worm.Viking.dr”的病毒正在互聯(lián)網(wǎng)上肆虐。該病毒集文件型病毒、蠕蟲病毒、病毒下載器于一身，傳播能力非常強。該病毒會破壞用戶的一些軟件，造成它們無法使用?！巴鹑湎x”是一個能在WIN9X/NT/2000/XP系統(tǒng)上運行的蠕蟲病毒，通過感染文件、局域網(wǎng)以及其他病毒下載傳播。該病毒還會自動在后臺下載并運行“QQ通行證”等其他病毒，竊取用戶QQ及網(wǎng)絡(luò)游戲的賬號和密碼并發(fā)送給黑客。由于該病毒在編寫上存在一些問題，可造成一些用戶的軟件被破壞，無法使用。

特征

1、 病毒運行后將自身復(fù)制到Windows文件夾下， 文件名為：

%SystemRoot%// rundl132.exe

2、運行被感染的文件后， 病毒將 病毒體復(fù)制到為以下文件：

%SystemRoot%//logo_1.exe

3、同時 病毒會在病毒文件夾下生成：

病毒目錄//vdll.dll

4、 病毒從Z盤開始向前搜索所有可用分區(qū)中的 exe文件，然后感染所有大小27kb-10mb的 可執(zhí)行文件，感染完畢在被感染的文件夾中生成：

_desktop.ini（文件屬性：系統(tǒng)、隱藏。）

5、 病毒會嘗試修改%SysRoot%//system32//drivers//etc//hosts文件。

6、 病毒通過添加如下 注冊表項實現(xiàn)病毒開機自動運行：

[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Run]

"load"="C:////WINNT////rundl132.exe"

[HKEY_CURRENT_USER//Software//Microsoft//Windows NT//CurrentVersion//Windows]

"load"="C:////WINNT////rundl132.exe"

7、 病毒運行時嘗試查找窗體名為："RavMonClass"的程序，查找到窗體后發(fā)送消息關(guān)閉該程序。

8、枚舉以下殺毒 軟件進程名，查找到后終止其進程：

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9、同時 病毒嘗試?yán)靡韵旅罱K止相關(guān)殺病毒 軟件：

net stop "Kingsoft AntiVirus Service"

10、發(fā)送ICMP探測數(shù)據(jù)"Hello,World"，判斷網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)可用時，枚舉內(nèi)網(wǎng)所有共享主機，并嘗試用弱口令連接////IPC$、//admin$等共享目錄，連接成功后進行網(wǎng)絡(luò)感染。

11、感染用戶機器上的 exe文件，但不感染以下文件夾中的文件：

system

system32

windows

Documents and settings

system Volume Information

Recycled

winnt

Program Files

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

Microsoft Office

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

12、枚舉系統(tǒng)進程，嘗試將 病毒dll - vdll.dll）選擇性注入以下進程名對應(yīng)的進程：

Explorer

Iexplore

找到符合條件的進程后隨機注入以上兩個進程中的其中一個。

13、當(dāng)外網(wǎng)可用時，被注入的dll文件嘗試連接以下網(wǎng)站下載并運行相關(guān)程序：

http://www.17**.com/gua/zt.txt 保存為：c://1.txt

http://www.17**.com/gua/wow.txt 保存為：c://1.txt

http://www.17**.com/gua/mx.txt 保存為：c://1.txt

http://www.17**.com/gua/zt.exe 保存為：%SystemRoot%//0Sy.exe

http://www.17**.com/gua/ wow.exe保存為：%SystemRoot%//1Sy.exe

http://www.17**.com/gua/mx.exe 保存為：%SystemRoot%//2Sy.exe

注：三個程序都為 木馬程序

14、 病毒會將下載后的"1.txt"的內(nèi)容添加到以下相關(guān) 注冊表項：

[HKEY_LOCAL_MACHINE//SOFTWARE//Soft//DownloadWWW]

"auto"="1"

[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows]

"ver_down0"="[boot loader]////////////////////////////////+++++++++++++++++++++++"

"ver_down1"="[boot loader]

timeout=30

[operating systems]

multi - 0disk - 0rdisk - 0partition⑴////WINDOWS=//"Microsoft Windows XP Professional//" ////"

"ver_down2"="default=multi - 0disk - 0rdisk - 0partition⑴////WINDOWS

[operating systems]

multi - 0disk - 0rdisk - 0partition⑴////WINDOWS=//"Microsoft Windows XP Professional//" /////"

15、威金 病毒變種類型

Worm/Viking.aof// 病毒類型： 蠕蟲

I-Worm/Warezov.fl// 病毒類型： 蠕蟲

Worm.Xiazaizhe.a // 病毒類型： 蠕蟲

Worm.Viking.ss //病毒類型： 蠕蟲

Trojan/DDos.Agent.r// 病毒類型： 木馬

setup.exe 病毒 - Worm.Viking

網(wǎng)上沖浪，就比較容易中l(wèi)ogo1_exe rundl132.exe（仔細在 任務(wù)管理器中可以找到.）

既然是通過網(wǎng)絡(luò)傳播，就有傳播的端口,可以考慮在網(wǎng)絡(luò)設(shè)備上增加ACL，進行訪問控制.在邊界 防火墻上增加相關(guān)的端口屏蔽策略.

因其有主機感染的特點，更要加強網(wǎng)絡(luò)版防毒 軟件 終端系統(tǒng)的更新和及時查殺。

另外， 防火墻除了屏蔽傳播端口外，一般對 病毒的基本無控制能力，而很多病毒（除了移動存儲設(shè)備）均來自于網(wǎng)絡(luò)中，邊界的防毒，垃圾 郵件，帶毒郵件的威脅需要用戶重視.可以采用例如DCFW-1800E-UTM統(tǒng)一威脅管理設(shè)備.進行防毒 防垃圾郵件的安全控制.

解決方案

另外 瑞星升級到最新版本也能清除該 病毒，建議先手動刪除然后在用瑞星掃描全盤。

簡介

維金 病毒的泛濫愈演愈烈，10月份發(fā)布了幾個 專殺工具幫助千百萬計的用戶脫離苦海，近日又接到了很多用戶發(fā)來的維金 病毒報告 郵件，沒想到這個 病毒比原來更猖獗了.原來的工具源碼在一次意外中丟失，這次又狠下心重新編寫了，也加入了最新的維金病毒特征碼.請有需要的廣大的用戶下載使用，更希望能把在使用時發(fā)現(xiàn)的問題反饋給我們，或到下面的"支持博客"中留言.

該工具可以有效解除被感染的exe中的病毒并還原 exe文件，網(wǎng)上的大部分工具是直接刪除exe文件。另外，本工具還具有Viking免疫功能。

下載后直接運行即可查殺，如果查殺幾次都有無法關(guān)閉的進程的，重新啟動一下 計算機繼續(xù)查殺應(yīng)該可以殺掉。直到 病毒數(shù)為0時為止。如果配合PlanTasks程序可發(fā)揮更大威力。

特別推薦

CHENOE Anti-Virus Tools 維金專殺 （民間版 魏滔序）

有用戶反應(yīng)該 病毒變種可抑制 瑞星和 卡巴斯基等主流 殺毒軟件的啟動，在此前提下可安裝這個民間版，軟件不到一兆，在系統(tǒng)遲緩的前提下可輕松運行，相信對中此病毒的朋友能夠有所幫助。

_desktop.ini

該 病毒會在每個文件夾中生成一個名為 _desktop.ini的文件，一個個去刪除，顯然太費勁，（我的機器的 操作系統(tǒng)因安裝在NTFS格式下，所以 系統(tǒng)盤下的文件夾中沒有這個文件，另外盤下的文件夾無一幸免），因此在這里介紹給大家一個 批處理命令 del d://_desktop.ini /f/s/q/a，該命令的作用是：強制刪除d盤下所有目錄內(nèi)（包括d盤本身）的_desktop.ini文件并且不提示是否刪除/f 強制刪除 只讀文件

/q 指定靜音狀態(tài)。不提示您確認刪除。/s 從 當(dāng)前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的 文件名。/a的意思是按照屬性來刪除了這個命令的作用是在殺掉viking 病毒之后清理系統(tǒng)內(nèi)殘留的 _desktop.ini文件用的使用方法是開始–所有程序–附件– 命令提示符，鍵入上述命令（也可復(fù)制粘貼），首先刪除D盤中的_desktop.ini，然后依此刪除另外盤中的_desktop.ini。至此，該 病毒對機器造成的影響全部消除。覺得有用的朋友們拿去試試吧

手動清除

方法A

一、重啟，并進 安全模式。

二、殺毒

1、顯示 隱藏文件：

打開“ 我的電腦”——工具—— 文件夾選項——查看

a、把“隱藏受保護的 操作系統(tǒng)文件（推薦）”和“隱藏已知文件類型的擴展名”前面的勾去掉；

b、勾中“顯示所有文件和文件夾”

2、在系統(tǒng)安裝文件夾內(nèi)<；一般是C://WINDOWS和C://WINDOWS//system32>/用搜索找到你所中病毒<；比如找logo_1.exe rundl132.exe> 完全刪除之 然后都建立名為"logo1_.exe"、"rundl132.exe"的空文件夾/并把屬性設(shè)為“只讀”，這樣病毒也就無法運行了。

3、在所有的硬盤中刪除 _desktop.ini。

4、清空IE瀏覽產(chǎn)生的垃圾和記錄文件。

<3/4其實可以不用做。不過為了更加完善 清理 垃圾文件也是不錯的。>

——————–手工清理辦法結(jié)束——————–

方法B

⒈同時按下CTRL,ALT,DEL三鍵打開 任務(wù)管理器，結(jié)束病毒<；比如logo1_.exe>；進程.

2同樣需要刪除 操作系統(tǒng)盤（一般是C盤）winnt目錄下的logo1_. exe文件.

⒊運行 gpedit.msc打開組策略，依次單擊用戶配置- 管理模塊- 系統(tǒng)-指定不給windows運行的程序，點啟用 然后 點顯示 添加 病毒的源文件< 比如logo1_exe>；。

⒋把默認共享關(guān)閉，給ADMINISTRATOR 組所有成員設(shè)置 密碼。防止 病毒重新感染。<；呵呵。說到這里。紳博的朋友們 你們是不是個人電腦都有密碼呢 不要以為不設(shè)密碼就表示你大方。其實這樣也給 病毒很多機會了。所以電腦還是應(yīng)該要設(shè)置個簡單密碼的。這里不就有作用拉~>.

——————–手工清理辦法結(jié)束——————–

<；說明：以上兩方法任意選一都可行。原理：前面是安全模式下 病毒沒運行所以直接刪。再禁。后面是中毒情況下關(guān)閉進程。然后強刪，再禁。最終效果是一樣的。>

五、推薦使用威金 病毒全盤 修復(fù)工具

功能描述

專門針對感染 可執(zhí)行文件（.exe）的威金 病毒全盤 修復(fù)工具，可以對已被vikin感染的文件進行修復(fù)！點這里下載威金全盤修復(fù)工具！

使用說明

將ArFix.rar 下載到本地 解壓縮（請不要在壓縮包中運行，不然特征庫可能無法保存）

運行ArFix.exe

添加樣本-〉選擇一個 病毒文件或者一個被病毒感染的文件（如某些圖標(biāo)有變化的文件，有時需要添加病毒母體才能殺干凈）！

顯示 病毒可能是個正常文件時，說明這不是個被感染的程序，可能是病毒母體，這種無法修復(fù)，只能刪除?。ㄎ募x擇錯誤，會刪除掉正常的程序）

顯示為被感染的可執(zhí)行程序時，說明這個被感染了，可以修復(fù)！

添加到特征庫后，會看到支持的 變種數(shù)量增加了！

進行全盤查殺！

您可以通過登陸 windows清理助手網(wǎng)站了解更多關(guān)于 軟件工具使用和系統(tǒng)安全知識！

最后 請大家注意 網(wǎng)上有個威金 補丁千萬不要下 是 后門 軟件我機器就中招了 13次 系統(tǒng)重裝的代價 都是因為這個補丁 最后壞了一塊120G硬盤（擦寫次數(shù)過多） 后來一個懂行的朋友幫我查出來的 每次一安裝這個補丁就會在8小時內(nèi)發(fā)作威金 隱蔽性很強 害人啊 很多重要工作數(shù)據(jù)丟失了 損失無法估量 （希望追求刑事責(zé)任）