小陌反病毒资讯 : Worm.Viking变种疯狂席卷国内互联网

登录首页个人门户互动上海论坛

	小陌反病毒资讯 http://community.highai.com/blogs/smallmo/default.aspx >> 复制网址>> 发送悄悄话

我的首页 | 博客 | 相册 | 音乐 | 视频 | 网摘 | 我的朋友 | 留言板 | 关于我

	Worm.Viking变种疯狂席卷国内互联网	[原创 \| 日记 \| 2006年6月2日 \| 小陌]

国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中，金山、瑞星等国内反病毒厂商都对变种做了应急处理，小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。

Viking家族的变种会感染pe文件，给中招用户带来不小麻烦，同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。

同时该家族的Worm.Viking.i（瑞星Worm.Viking.bp）变种还通过qq尾巴传播，qq尾巴的形式：

h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/

以下是金山、瑞星的报告：

1. 金山：Worm.Viking.m

2. 瑞星：瑞星紧急升级报告：18.29.33版新增2个可查杀病毒

最新情况可以访问：http://smallmo.bokee.com/5154697.html

[标签]:Worm.Viking Viking.i Viking.m qq尾巴 logo_1.exe

3 [我顶]

发表评论:: 打印 :: 投诉 :: 发布为辩论 :: 加为我的网摘

re: Worm.Viking变种疯狂席卷国内互联网
病毒被激活后，释放以下文件：
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll

添加以下启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"

感染所有分区下大小27KB-10MB的可执行文件（但不感染系统文件夹和programe files文件夹下的文件），并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话，恭喜恭喜，估计十有八九已遭遇不幸了，并且感染后会造成一些网友说的“EXE文件图标花了”

通过不安全的共享网络传播，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\IPC$、\admin$等共享目录，连接成功后进行网络感染。

结束一些国内的反病毒软件进程，如毒霸，瑞星，木马客星等。

vdll.dll注入Explorer或者Iexplore进程，当外网可用时，下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。

将拿到的几个样本文件看了下，其中rundl132.exe为病毒文件，VThunder为感染后的文件，Thunder为原文件。
winhex将这3个文件打开，发现感染方式为“头寄生”，VThunder文件头被插入了rundl132的代码。
rundl132.exe

VThunder.exe

Thunder.exe

offset删除至00069E6后另存为，即可还原到原来的thunder了。

小空在这里提醒大家，对这个病毒防范胜于查杀。目前，包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件，但部分杀软采取的方法却是直接删除，这可不是件好事。因此，小空建议你，及时升级你的杀软，并打开实时监控；安装一款防火墙；关闭不必要的网络共享；通过在线更新等给系统打好补丁；给管理员帐户加上足够强壮的密码；对于来历不名的文件不要随意运行。

由 StanMcQuay评论于【2006年6月8日 20:21】