深透研究病毒3—威金病毒
大家好,我是小风,经过辣条哥的指点,我决定给大家配配图,在此感谢辣条哥,大家可以去关注关注辣条哥,他的号叫做:五包辣条!
今天我们来讲06年一种国内常见的、令人厌恶的、臭名昭著的熊猫烧香的亲戚—威金病毒,说真的,我认为,熊猫就是威金病毒的变种。话不多说,我们现在开始。
威金病毒,原名:Worm.Viking.dr,属蠕虫病毒类,它的变种有八百多个,其中,最臭名昭著的就是李俊编写的变种:熊猫烧香。
如今网上只有熊猫变种的图片,等破一万粉,我就开始虚拟机运行来拍给你们看看,现在我就上网找张凑个数吧。
感染系统:Windows9X系列、NT、2000、XP、7
别问我为什么Windows7可以感染,因为它有一个变种叫做金猪报喜
传染途径:通过感染文件、局域网以及其他病毒下载传播。该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒。
特征:病毒运行后将自身复制到Windows文件夹下, 文件名为:
%SystemRoot%\rundl132.exe
运行被感染的文件后, 病毒将 病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
同时 病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的 可执行文件,感染完毕在被感染的文件夹中生成:
desktop.ini(文件属性:系统、隐藏。)
病毒会修改:%SysRoot%\system32\drivers\etc\hosts文件。
病毒通过添加如下 注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“load”=“C:\WINNT\rundl132.exe”
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
“load”=“C:\WINNT\rundl132.exe”
病毒运行时尝试查找窗体名为:“RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
病毒会查找杀毒 软件进程名,查找到后终止其进程,例如:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
同时 病毒会利用以下命令终止相关杀病毒 软件:
net stop “Kingsoft AntiVirus Service”
发送ICMP探测数据"Hello,World”,判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPCKaTeX parse error: Undefined control sequence: \admin at position 2: 、\̲a̲d̲m̲i̲n̲等共享目录,连接成功后进行网络感染。
感染用户机器上的 exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShieldInstallation Information
MSN
MicrosoftFrontpage
Movie Maker
MSN Gaming Zone
以下系统进程,会将 病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
https://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
三个程序都为 木马程序
病毒会将下载后的"1.txt"的内容添加到以下相关 注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
“auto”=“1”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
“ver_down0”="[boot loader]\\\\\\\\+++++++++++++++++++++++"
“ver_down1”="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴\WINDOWS=“Microsoft Windows XP Professional” "
“ver_down2”=“default=multi(0)disk(0)rdisk(0)partition⑴\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴\WINDOWS=“Microsoft Windows XP Professional” /”
威金 病毒变种类型有以下:
Worm/Viking.aof// 病毒类型: 蠕虫
I-Worm/Warezov.fl// 病毒类型: 蠕虫
Worm.Xiazaizhe.a // 病毒类型: 蠕虫
Worm.Viking.ss //病毒类型: 蠕虫
Trojan/DDos.Agent.r// 病毒类型: 木马
setup.exe病毒(Worm.Viking)
在那个时候,常上网的话,容易中logo1_exe rundl132.exe这个变种
它有传播的端口。
手杀方法有两种:
1.重启,并进 安全模式。
杀毒:
显示 隐藏文件:
打开“ 我的电脑”——工具—— 文件夹选项——查看
把“隐藏受保护的 操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
勾中“显示所有文件和文件夹”
在系统安装文件夹内<;一般是C:\WINDOWS和C:\WINDOWS\system32>/用搜索找到你所中病毒<;比如找logo_1.exerundl132.exe> 完全删除之 然后都建立名为"logo1.exe"、"rundl132.exe"的空文件夹/并把属性设为“只读”,这样病毒也就无法运行了。
在所有的硬盘中删除 desktop.ini。
清空IE浏览产生的垃圾和记录文件。
2.同时按下CTRL,ALT,DEL三键打开任务管理器,结束病毒<;比如logo1.exe>;进程.
同样需要删除 操作系统盘(一般是C盘)winnt目录下的logo1_.exe文件.
运行gpedit.msc打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 病毒的源文件。把默认共享关闭,给ADMINISTRATOR组所有成员设置 密码。防止 病毒重新启动。
现在网上还有一些新的变种。
我是小风,我们下次见。
深透研究病毒3—威金病毒相关推荐
- 威金病毒、维金病毒、Viking、logo1_.exe专杀 vdll.dll、logo1_.exe、rundl132.exe、_desktop.ini、、0Sy.exe、图标变花...
威金病毒.维金病毒.Viking.logo1_.exe专杀 vdll.dll.logo1_.exe.rundl132.exe._desktop.ini..0Sy.exe.图标变花 Windows目录下 ...
- 熊猫烧香.威金.落雪.SXS.ARP.网络执法管.AUTORUN.INF等高危病毒清除
将下面的内容复制到记事本,保存为.reg文件.双击运行,以下操作最好是在安全模式下进行,如果系统无法进入安全模式,请参考本站内,关于如何恢复被病毒破坏的安全模式的文章. *************** ...
- 深透研究病毒1—my doom
爆发于2004年,一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮 ...
- 最新Viking(维金)病毒专杀工具,纯VB编写。(升级版)
维金的泛滥愈演愈烈,10月份发布了几个专杀工具帮助千百万计的用户脱离苦海,近日又接到了很多用户发来的维金病毒报告邮件,没想到这个病毒比原来更猖獗了.原来的工具源码在一次意外中丢失,这次又狠下心重新编写 ...
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
endurer 原创 2006-07-20 第1版 昨天(7月19日)晚上十点多,一位朋友说这几天他的电脑瑞星开机自检总发现病毒Trojan.PSW.Agent.adw.Trojan.PSW.Zhen ...
- 【重点警惕】.locked1后缀--TellYouThePass勒索病毒家族旗下勒索病毒
目录 前言:简介 一.什么是.locked1勒索病毒? 二.中了.locked1后缀勒索病毒文件怎么恢复? 三.系统安全防护措施建议: 前言:简介 近日,我们陆续有接到被".locked1& ...
- 勒索病毒未死,新病毒或又要来袭
导读 据华尔街日报(博客,微博)消息,一种名叫"Adylkuzz"的新病毒正在蔓延,它不会锁定用户的电脑屏幕,但会悄悄占据电脑的处理器资源,以生产一种罕见的Monero数字货币,类 ...
- devos勒索病毒解决方法|勒索病毒解密|勒索病毒恢复|数据库修复
目录 引言 一.了解什么是devos勒索病毒? 二.devos勒索病毒的传播方式 三.感染了devos勒索病毒解决方法 四.如何防范devos勒索病毒? 五.结语 引言 随着数字时代的来临,企业在数据 ...
- .devos勒索病毒解密方法|勒索病毒解决|勒索病毒恢复|数据库修复
简介: 在网络安全领域,勒索病毒是一种恶意软件,它会通过加密受害者的数据文件,然后勒索赎金以解密这些文件..deovs勒索病毒是已经传播多年的一种老牌勒索病毒,它对个人用户和企业网络造成了严重的威胁. ...
- 血液与病毒:新冠病毒感染概率与血型有关吗?
全文共2816字,预计学习时长8分钟 图源:unsplash 近期,<新英格兰医学杂志>上发表了一篇关于研究发现冠状病毒与某种基因和血型变量存在关系的文章.尽管作者强调了他们的基因相关发现 ...
最新文章
- 为什么要学习响应式设计
- 每秒改变一次背景颜色以及由此引发的一些有趣的小事情(.net方向)
- 记Thoughtworks一次糟糕的面试
- delete 会不会锁表_MySQL的insert into select 引发锁表
- spring 循环依赖_简单说说 Spring 的循环依赖
- .Net(一):再识面向对象之C#学习总结
- JavaScript项目中锁定npm依赖包版本
- this version of the Java Runtime only recognizes class file versions up to 52.0
- Scratch(四十三):赛龙舟
- Java对象转Map
- 解决ajax回调函数不执行success的问题
- 减少域名DNS解析时间将网页加载速度提升新层次
- 九枝兰专访-----深入解读程序化购买以及行业现状(初篇)
- 怎么查询计算机二级证书快递号,计算机二级office查询成绩后的注意事项证书直邮申请17到到23号...
- 为什么程序员要学linux?
- 红米越卖越贵,消费者如今总算有了新选择,魅蓝回来了
- 【史上最全】如何建立模型
- 排序算法为什么要求稳定性
- OpenWrt 设置IP地址
- 计算机毕业设计每章小结怎么写?