九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
“Worm.Win32.Viking.i”病毒分析及查殺

    5月30日,老驢給我出個(gè)難題,見面第一句話“我的機(jī)子中標(biāo)了,好象只針對(duì).exe文件或uninstall,卡巴查出是Worm.Win32.Viking.i”,通過google給他找到了病毒的介紹和解決辦法,最后索性讓他把病毒文件發(fā)過來,在vm下自己分析了一下。本來想著是個(gè)別問題,結(jié)果發(fā)現(xiàn)這兩天網(wǎng)絡(luò)關(guān)于該病毒的消息越來越多,那就把我看到的一些東西跟大家分享一下吧。
    一、病毒消息:
    威金蠕蟲肆虐互聯(lián)網(wǎng) 九千用戶十余企業(yè)遭攻擊[圖]
    惡性病毒現(xiàn)身:穿透還原卡 殺死殺毒軟件
    二、病毒癥狀:
    看了一些關(guān)于此病毒的癥狀,不完全統(tǒng)計(jì)如下:
    1、占用大量網(wǎng)速,使機(jī)器使用變得極慢。
    2、會(huì)捆綁所有的EXE文件,只要一運(yùn)用應(yīng)用程序,在winnt下的logo1.exe圖標(biāo)就會(huì)相應(yīng)變成應(yīng)用程序圖標(biāo)。
   


    3、有時(shí)還會(huì)時(shí)而不時(shí)地彈出一些程序框,有時(shí)候應(yīng)用程序一起動(dòng)就出錯(cuò),有時(shí)候起動(dòng)了就被強(qiáng)行退出。
    4、網(wǎng)吧中只感梁win2k pro版,server版及XP系統(tǒng)都不感染。(嚴(yán)重表示懷疑?。?
    5、能繞過所有的還原軟件。
    6、下載并釋放多個(gè)木馬程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe、svhost32.exe、rundll32.exe、dllz.dll、svchs0t.exe、C:\gamevir.txt、C:\1.txt 、C:\log.txt等等。
    三、病毒分析:
    根據(jù)病毒釋放出來的文件,感覺它應(yīng)該是W32.Looked病毒的某個(gè)變種,在symantec的官方站點(diǎn)檢索一下,發(fā)現(xiàn)該病毒從2004年12月17日被發(fā)現(xiàn),到最新變種被發(fā)現(xiàn)2006年5月29日,總計(jì)有7個(gè)變種,介紹如下: 
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.b.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.c.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.e.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.f.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.h.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.i.html
    通過對(duì)這幾個(gè)病毒介紹的分析,我們發(fā)現(xiàn)該病毒除在個(gè)別版本中有所變動(dòng)外,基本特征大體沒有太多變化,而病毒作者必然是國(guó)人沒錯(cuò)。
    接著來分析一下Symantec定義的各變種病毒爆發(fā)后的操作:
    病毒簡(jiǎn)介:該病毒是一個(gè)會(huì)從遠(yuǎn)端服務(wù)器下載文件并感染.exe文件的蠕蟲病毒,它會(huì)降低安全防護(hù)的效能并通過網(wǎng)絡(luò)共享傳播自己。
    感染系統(tǒng):Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP
    病毒行為(有些行為可能只在某個(gè)變種體現(xiàn)):
    1、(部分變種)創(chuàng)建文件%Windir%\rundl132.exe (A copy of W32.Looked.I),注意這里的文件名是rundl132.exe,不是rundll32.exe,%Windir%默認(rèn)為C:\Windows或者C:\Winnt;
    2、創(chuàng)建木馬程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan),%CurrentFolder%表示病毒被初次執(zhí)行時(shí)的目錄,我見到的基本都在%Windir%下;
    3、(部分變種)從遠(yuǎn)端服務(wù)器下載病毒程序到%Windir%\1.exe,并執(zhí)行,有些變種下載的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件;
    4、拷貝自身為%Windir%\Logo1_.exe;
    5、在注冊(cè)表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下創(chuàng)建鍵值"auto" = "1";
    6、(部分變種)在注冊(cè)表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows創(chuàng)建鍵值"load" = "%Windir%\rundl132.exe";
    7、(部分變種)停止服務(wù)Kingsoft AntiVirus Service;
    8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE
    9、從磁盤C到Y(jié)檢索.exe文件并感染找到的文件,不會(huì)感染下列目錄中的.exe文件: 
·system
·system32
·windows
·Documents and Settings
·System Volume Information
·Recycled
·winnt
·Program Files
·Windows NT
·WindowsUpdate
·Windows Media Player
·Outlook Express 
·Internet Explorer
·ComPlus Applications
·NetMeeting
·Common Files
·Messenger
·Microsoft Office
·InstallShield Installation Information
·MSN
·Microsoft Frontpage
·Movie Maker
·MSN Gamin Zone
    10、發(fā)送包含“Hello,World”字符串的ICMP包到192.168.0.30、192.168.8.1;
    11、使用administrator和空口令嘗試打開任何對(duì)ICMP包響應(yīng)的計(jì)算機(jī)的\\ipc$和\\admin$目錄;
    12、拷貝自身到成功打開的共享目錄;
    13、檢索成功打開的共享目錄,尋找并感染.exe文件;
    14、(部分變種)嘗試結(jié)束下列進(jìn)程: 
·EGHOST.EXE  
·IPARMOR.EXE  
·KAVPFW.EXE  
·KWatchUI.EXE  
·MAILMON.EXE  
·Ravmon.exe  
·ZoneAlarm
    15、(部分變種)在hosts文件(默認(rèn)位置:%system%\drivers\etc,%system%默認(rèn)為C:\WINDOWS\system32\或C:\Winnt\system32)中添加內(nèi)容,內(nèi)容主要是將防病毒網(wǎng)站指向到本級(jí)或指定IP。
AcOol PS: 
    我分析的“Worm.Win32.Viking.i”病毒只包含了以上的7、8個(gè)步驟。
    四、病毒查殺: 
    1、專殺工具:
“威金(Worm.Viking)”病毒專殺工具1.0
“維金”病毒專殺工具v2006.6.8.13
    2、手動(dòng)查殺:
    首先建議下在IceSword1.8,在IceSword中進(jìn)行操作。 
    (1)在進(jìn)程中找到并結(jié)束Logo1_.exe、rundl132.exe進(jìn)程,未找到則直接跳過; 
    (2)找到并刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目錄中,%Windir%默認(rèn)為C:\Windows或者C:\Winnt。 
    (3)打開注冊(cè)表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,刪除auto鍵值; 
    (4)打開注冊(cè)表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows,刪除load鍵值; 
    (5)打開%system%\drivers\etc下hosts文件,刪除“127.0.0.1       localhost”一行后所有內(nèi)容; 
    (6)升級(jí)病毒定義庫,在安全模式下對(duì)全盤進(jìn)行掃描。
    五、補(bǔ)充說明:
    根據(jù)這兩天看到的消息,該病毒可能出現(xiàn)了新的變種,捆綁了QQ尾巴病毒,因?yàn)閺睦象H那里拿到的病毒體沒有這個(gè)內(nèi)容,限于個(gè)人水平也無法徹底分析明白,轉(zhuǎn)述了“C.I.S.R.T 論壇”對(duì)各新變種的分析及解決辦法,匯總為“ViKing病毒專題”,大家可以根據(jù)自己的情況采取相應(yīng)的查殺方式。
ViKing病毒專題:
http://coolersky.com/articles/index.asp?classid=412
    六、參考:
    ·http://soft.yesky.com/security/42/2431542.shtml
    ·http://forum.ikaka.com/topic.asp?board=28&artid=8037807
    ·http://safebbs.it168.com/redirect.php?tid=8032&goto=lastpost
    ·http://www.simkz.com/cisrt/forumdisplay.php?fid=12
    ·http://coolersky.com/articles/virus/analyze/2006/0608/264.h
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
威金蠕蟲:所有的exe圖標(biāo)都變色變模糊
另類方法防威金攻擊
讓病毒無處藏身--讓Temp文件夾里的文件自動(dòng)清空
全部dll文件強(qiáng)行注冊(cè)一遍命令符
電腦病毒木馬殺不掉的原因
十大流氓軟件完全卸載方案
更多類似文章 >>
生活服務(wù)
熱點(diǎn)新聞
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服