裸奔的兄弟们注意了！我中威金（Worm.ViKing）了。

谍杀

一向裸奔的我，这两年跑得挺愉快，中标也是常有的事，俗话说：常在河边走，哪有不失鞋。不过每次都是GHOST了事，从来没有殃及个人资料和文件。

昨夜google上查一Photoshop教程，满网乱窜，不幸中标，感觉电脑越来越慢，资源几乎耗尽，遂重启电脑GHOST了事，GHOST完成后，习惯性的查看一下其它分区

，发现每个分区的根目录都产生了一个_desktop.ini的隐藏文件，进入各个子目录，我的天啊！和当年欢乐时光一样，每个文件夹都给你放了一个_desktop.ini

文件，所不同的是，这个文件前面加了个_，且用记事本打开里面写了时间和日期，2006/9/10，晕死！

做了个批处理，一次性把硬盘所有_desktop.ini全部删除，以为全部搞定，因为系统已经是刚刚GHOST的，这个文件删了就可以了，无关紧要。

接下来安装Photoshop干点活，安装过程倒是非常顺利，突然发现存放Photoshop安装文件的目录又出来一个_desktop.ini，再查看其它分区、其它目录，又是成

千上百个_desktop.ini了。

这是怎么回事呢？系统是刚刚GHOST的，为什么又自动产生这个文件呢？google一下。

原来偶中了威金（Worm.ViKing）

------------------------------------------

该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修

改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行

后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
　　%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"


10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，
枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

威金五大罪状

第一罪:感染系统文件
造成系统损坏，且手动清除困难；

第二罪:下载恶性木马

盗取魔兽、传奇帐号，灰鸽子开后门使系统完全受黑客控制，QQRobber病毒等；

第三罪: 多路网络传播方式

通过感染文件、局域网共享来传播；

第四罪: 强制禁用国内知名反病毒软件
降低安全性，易感染其它病毒；

第五罪: 变种多
数日内，已出现多个变种。

------------------------------------------

那就装个杀毒软件试试，先装诺顿，查杀不了，再装卖咖啡，好家伙，直接把Setup.exe和Install.exe的文件自动给你清除了，要命，赶快停止，这些都是软件

的安装文件。

网上搜索查杀方法，提示毒霸和瑞星能有专杀工具，一一下来，进行查杀，毛都没有查到，这也叫专杀？
查看各大论坛，看是否有解决方法，他们的意思是如果专杀工具没有搞定，就只有格式化硬盘了，因为你的.exe文件已经被感染了，即使是重新安装系统，只要

执行了那个已被感染的.exe文件，那么病毒就会发作，你必须清除掉被感染的.exe文件才算是彻底安全了。

好在移动硬盘中有备份，先用卖咖啡查出倒底哪些exe文件被感染了，然后手动删除被感染的.exe文件，再从移动硬盘中把.exe文件拷回来不就行了。

结果一查，查到了这些，发现被感染的文件主要为Setup.exe和Install.exe，另外还有QQ.exe，Excel.exe，Winword.exe。

截图，然后搜索这些文件，删除，重新拷贝这些.exe文件，并进行改名，现在总算安全了。

继续裸奔中……

提示：建议裸奔的兄弟把Setup.exe Install.exe，QQ.exe这几个文件进行改名，万一中标没有备份的话确实很麻烦。

cxcx

光是浏览网页的话，病毒是怎么下载回来的呢？
我是说所有系统补丁打全
而且禁止下载ActivX的情况下

谍杀

QUOTE:

原帖由 cxcx 于 2006-9-10 21:17 发表
光是浏览网页的话，病毒是怎么下载回来的呢？
我是说所有系统补丁打全
而且禁止下载ActivX的情况下

那就要向你请教罗，呵呵……现在一些病毒确实很猖狂啊！还有一些流氓软件。
第一次搞得这么麻烦。现在不怕了，我全改名了。哈

luhua

哈哈，我们单位有很多电脑中了_desktop.ini和sxs.exe之类的病毒，上星期我的一个完全共享文件夹也染上了_desktop.ini，害得我马上ghost，再在DOS下瑞星全硬盘查毒。ViKing传染太恐怖了。

谍杀

瑞星可以查杀吗？我用瑞星专杀工具断网查杀，屁毛都没查到，提示无毒。

20040630

呵呵～从未怕过，裸奔爽极了！

没故事的男孩

以后只能用LINUX了，装个WINDOWS就为了玩玩游戏得了

luhua

QUOTE:

原帖由 谍杀 于 2006-9-10 21:29 发表
瑞星可以查杀吗？我用瑞星专杀工具断网查杀，屁毛都没查到，提示无毒。

其实我是没中毒，完全共享的只是WORD文档，它只是在该目录下创建了一个_desktop.ini，我是用最新病毒库的DOS瑞星来查杀的，我的电脑没此病毒，我不是网管，所以懒得帮别人去杀。这种病毒最憎恨的是打印机会打带有日期的白纸，强吧，呵呵。

GAOFHB

太可怕了.

sakerping

你用什么浏览器？

zmq

今天刚给一位朋友ghost了系统，原系统特别慢，查出有viking，估计还有其他毒。

只ghost了c盘，装了瑞星杀毒，希望不会再出什么问题。

zmq

打印机会打带有日期的白纸

完了，看来偶的网络里有人感染了

谍杀

对啊！那个文件中会带日期的。

joewong

这个virus够强的

duoduo.l

汗···已经中标了

裸奔很久，最近这段时间病毒太猖狂，老师中着

hee163

我公司有两家客户己中此毒。弄得头都大。

cxcx

俺以前裸奔，连补丁都不打
中过一次招之后就不敢不打补丁了
虽然还是照旧裸奔
不过对M$实在是不能太过信任
到现在为止没有再出过问题

-y

单位里的几台机都中了，这种病毒最喜欢搞网吧呀什么局域网共享的，

俺单位里的机器中了病毒品种太多了，俺于是有心无力了呀。。什么winlogon,spoolsv,realplay,quartz32.dll,iehelper-5084，wincfgs.....一大罗的。。俺已经几天没好好地睡一觉了。。

luhua

我单位中毒的都是“穿衣服”的，俺“裸奔”体质好不中病毒的，呵呵。
共享的打印机会受网络内其它中毒电脑的影响而打印带日期空白纸。

luhua

QUOTE:

原帖由 -y 于 2006-9-10 23:33 发表
单位里的几台机都中了，这种病毒最喜欢搞网吧呀什么局域网共享的，

俺单位里的机器中了病毒品种太多了，俺于是有心无力了呀。。什么winlogon,spoolsv,realplay,quartz32.dll,iehelper-5084，wincfgs.....一大罗 ...

给人装系统一定要GHOST备份，这是为自己着想啊。

limonet

感谢谍杀的提醒，分析的很透砌。网络不安全，大家当心点。

phoneg

不里他，，我最多是全盘格式化，我有备份我怕谁？

wm_777

光着身子就是危险

toc

一向不敢猓奔，这个世界实在是太不安全了，现在ML都要带T，哪里敢猓奔啊。　

Alain3363

哇噻 这个东东这么强的感染力....~~~

gztcy

这病毒还真的是厉害.我也中过

xsmile

关键是让其它盘的exe文件也感染，感染范围之广，所以危害极大。要是只有C盘，Ghost也就简单了...

tangjianbin1979

这个病毒很厉害呀。。。赶紧去看下自己的机子先

focus

这个病毒只是排名第七……

秋天的童话

俺现在都怕了，装了两个杀软，我就不相信两个都搞不定。