[原创]威金变种再多肆虐网络，变身RAR图标迷惑用户

[watermark]威金变种再多肆虐网络，变身RAR图标迷惑用户
   
    安天实验室发现威金病毒变种Worm.Win32.Viking.k，该病毒属蠕虫类病毒，病毒图标为压缩文件RAR图标，以迷惑用户点击运行。病毒运行后，将自身复制到系统文件夹下，文件名为rundll32.exe，释放病毒文件，修改注册表，添加启动项，以达到随机启动的目的，联接网络，开启端口，下载病毒文件，病毒会尝试终止相关杀病毒软件，病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
    大家可以使用安天木马防线直接彻底的清除该病毒。如果需要手工清除，建议大家按照以下步骤删除对应文件，恢复相关系统设置。
    (1) 使用安天木马防线“进程管理”关闭病毒进程
    (2) 删除病毒文件
        系统根目录\_desktop.ini
        系统盘根目录\1.txt
        病毒所在目录\vDll.dll文件
        %Windir%\rundll32.exe
        %Program files%\_desktop.ini
        %Windir%\0sy.exe
        %Windir%\1sy.exe
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
     HKEY_CURRENT_USER\Software\Microsoft\Windows NT
     \CurrentVersion\Windows
     键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \DownloadManager\
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \Windows\ver_down0
     值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
     键值: 字串: "ver_down1"="COM+[7:18:32]: Setup started
     - [DATE:05,22,2006 TIME: 07:18 pm]11111"
     HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
     HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
     HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
     值: "1"

     相关链接请参见：http://www.antiy.com/security/report/20060803.htm[/watermark]