一、病毒來源
金山毒霸反病毒監測中心最新數據顯示,“維金(worm.viking.m,又名:威金)”惡性蠕蟲病毒自6月2日被金山毒霸率先截獲以來,截至6月8日16時,受攻擊個人用戶已由3000多迅速上升到13647人,數十傢企業用戶網絡癱瘓。這是自去年8月15日“狙擊波”病毒爆發後,互聯網受到的最嚴重的一次病毒襲擊。
二、傳播方式分類
該病毒為windows平臺下集成可執行文件感染、網絡感染、下載網絡木馬或其它病毒的復合型病毒,病毒運行後將自身偽裝成係統正常文件,以迷惑用戶,通過修改註册表項使病毒開機時可以自動運行,同時病毒通過綫程註入技術繞過防火墻的監視,連接到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉內網的所有可用共享,並嘗試通過弱口令方式連接感染目標計算機。
三、感染文件和目錄
病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
威金病毒會生成的病毒文件及其路徑:
$:program filessvhost32.exe
$:program filesmicrosoftsvhost32.exe
$:windowsexplorer.exe
$:windowslogo1_exe
$:windows
undll32.exe
$:windows
undl132.exe
$:windowsintel
undl132.exe
$:windowsdll.dll
_desktop.ini
四、病毒運行特徵
病毒運行後將自身偽裝成係統正常文件,通過修改用戶係統註册表項使病毒開機時即刻自動運行;同時,該病毒利用“綫程註入技術”繞過網絡防火墻的監視,連接到病毒作者指定的網站,下載特定的木馬或其它病毒。感染該病毒後,病毒會從z盤開始嚮前搜索所有可用分區中的.exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢,會在被感染的文件夾中生成一個處於隱藏狀態的係統文件:_desktop.ini,如果您的係統中發現此文件,表明您的係統可能已感染此病毒。
另外,病毒本身還會經常以logo1_.exe,4.exe,zuezn.sys以及等程序名作為主體存在.
據金山毒霸反病毒專傢介紹,從最近病毒的破壞特性來看,這種破壞係統文件的病毒基本很少,相對病毒産生的速度,可謂是百年不遇。
金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2006年6月2日的病毒庫即可查殺該當日的威金病毒;
威金worm.viking病毒自出現,就登上了病毒排行榜席位,到現在已出現很多變種,其病毒發作特徵也層出不窮,如往共享打印機狂塞打印任務(打印當天日期),感染磁盤上所有exe 可執行文件,傳播速度快,等等。防病毒廠商們也相對應的編譯專殺工具,網上也有相關的清除方法,但對於沒有安裝殺毒軟件及exe文件被病毒感染無法修復的用戶,另外,大部分防病毒軟件會在清除被威金病毒感染的exe文件的時候,是將這些exe文件刪除,這樣就會造成很多應用程序不能正常使用,最好是能完全清除此病毒,並修復被病毒感染的文件.
五、解决辦法
1.中毒之後斷網馬上重啓電腦,重啓之後如果電腦有先進的殺毒軟件(推薦使用卡巴斯基,我嘗試了三款殺毒軟件,最後發
現衹有卡巴能檢測出大量病毒,其他的衹能查得出一點點,而且還殺不掉,到處都有破解的卡巴下載,不麻煩,衹要註意不要
下載到病毒就ok了)則使用殺毒(記住此期間不要聯網,不然病毒會自動下載木馬的),如果電腦裏面沒有先進的殺毒軟件,
就聯網之後快快下載一個破解版的卡巴(建議順帶下載一個安全衛士,一個維金瑞星專殺)然後升級再斷網,一定要快!維金
復製得特別快,你的速越快,越容易消滅他。
2.殺毒軟件準備好之後就開始殺毒,你會發現電腦有很多病毒和木馬,而且一次卡巴根本消滅不了,但是維金病毒有一點很
厲害!你的卡巴衹能使用一次,第二次維金就會剋製你的卡巴使它不能打開了(所以這次一定要把查到的全部殺了),如果在
第一步中準備了安全衛士和專殺工具的在卡巴殺完之後將電腦轉換到安全模式(開機時按f8就可以進入了),在用上面兩個工
具殺殺(這兩個不是太有用,不過多少也能消滅一點)。
3.上面步驟完成以後初期工作就基本完成,接下來進入手動殺毒:病毒是在windows目錄下生成了
dll.dll,logo1_.exe,rundl132.exe這三個文件。而dll.dll註入explorer.exe是由logo1_.exe來完成。病毒會在開機自動執行
中加入rundl132.exe 首先打開我的電腦!選工具——文件夾選項——查看(快捷鍵按alt+t再按o)中的"隱藏受保護的操作係
統文件(推薦)"的勾取消,把"顯示所有文件和文件夾"選中!
【1】.按ctrl+alt+del在任務管理器中把rundl132.exe,logo1_.exe結束掉(沒有的話,不用操作),刪除c盤內的logo1_.exel和rundl132.exe(不知道在哪裏的,可以打開我的電腦按ctrl+f然後搜索rundl132.exe,logo1_.exe)
【2】.因為dll.dll模塊被寫入到explorer中,所以刪除不掉.不過能有辦法刪除, 打開任務管理把進程中的explorer.exe結束掉,接着桌面變消失了,不怕!選中任務管理器的“文件(f)”——“新任務(運行。。)(n)”然後運行explorer.exe桌面就又出來了!接着把在c:盤下的dll.dll刪除掉
【3】.在運行中輸入regedit查找註册表鍵值:[hkey_local_machinesoftwaresoftdownloadwww]將其刪除,然後按ctrl+f查找註册表鍵值rundl132.exe及在這項中的所有鍵值將其刪除
【4】.打開我的電腦按ctrl+f然後搜索_desktop.ini,把找到的所有_desktop.ini刪除.
4.將上面的步驟統統完成之後,病毒就已經不能再復製了,接下來就是刪掉原有的卡巴,然後再重新將卡巴裝一次,重
啓,殺毒(這時就衹需將剩下的木馬給消滅掉就可以了),殺完毒之後再重啓,在我的電腦裏搜索看有沒有_desktop.ini的文
件,如果沒有的話就恭喜你病毒全部消滅,如果還有的話就重複以上步驟直 至病毒全部消滅。
中毒後最好斷網,關閉防病毒軟件(因為防病毒軟件會刪除被病毒感染的exe文件 ),之後找相應的專殺工具.
一些專殺工具的下載地址
瑞星:http://it.rising.com.cn/channels/service/2006-07/1153119832d22607.shtml
金山:http://tool.duba.net/zhuansha/246.shtml
江民:http://www.jiangmin.com/download/zhuansha04 |