黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创]威金变种再多肆虐网络，变身RAR图标迷惑用户 [打印本页]

作者: hao123 时间: 2006-8-4 14:33 标题: [原创]威金变种再多肆虐网络，变身RAR图标迷惑用户

[watermark]威金变种再多肆虐网络，变身RAR图标迷惑用户

安天实验室发现威金病毒变种Worm.Win32.Viking.k，该病毒属蠕虫类病毒，病毒图标为压缩文件RAR图标，以迷惑用户点击运行。病毒运行后，将自身复制到系统文件夹下，文件名为rundll32.exe，释放病毒文件，修改注册表，添加启动项，以达到随机启动的目的，联接网络，开启端口，下载病毒文件，病毒会尝试终止相关杀病毒软件，病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
大家可以使用安天木马防线直接彻底的清除该病毒。如果需要手工清除，建议大家按照以下步骤删除对应文件，恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
      系统根目录\_desktop.ini
      系统盘根目录\1.txt
      病毒所在目录\vDll.dll文件
      %Windir%\rundll32.exe
      %Program files%\_desktop.ini
      %Windir%\0sy.exe
      %Windir%\1sy.exe
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
   HKEY_CURRENT_USER\Software\Microsoft\Windows NT
   \CurrentVersion\Windows
   键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
   \DownloadManager\
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
   \Windows\ver_down0
   值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
   键值: 字串: "ver_down1"="COM+[7:18:32]: Setup started
   - [DATE:05,22,2006 TIME: 07:18 pm]11111"
   HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
   HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
   HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
   值: "1"

   相关链接请参见：http://www.antiy.com/security/report/20060803.htm[/watermark]

作者: dwt85125 时间: 2006-8-4 20:20 标题: [原创]威金变种再多肆虐网络，变身RAR图标迷惑用户

喜欢手动挑战病毒,请问病毒的运行在任务中的名字是否为 rundll.exe
主要表现为什么!
请问你发的注册表信息能否改为reg文件直接写入注册表!
再有病毒文件直接删除可否 ,是否再生!

作者: huanglu550 时间: 2006-9-14 22:28 标题: [原创]威金变种再多肆虐网络，变身RAR图标迷惑用户

好惨~！我全中了！！！
维金，魔波！

作者: iq504 时间: 2006-9-16 18:15 标题: [原创]威金变种再多肆虐网络，变身RAR图标迷惑用户

替楼上难过!

作者: kento 时间: 2006-9-17 13:00 标题: [原创]威金变种再多肆虐网络，变身RAR图标迷惑用户

又出了一个新的。叫瑞金的呀

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)