廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 4505 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] Worm.Win32.Viking.ai分析
病毒標簽:
病毒名稱: Worm.Win32.Viking.ai
中文名稱: 威金
病毒類型: 蠕蟲
文件 MD5: 5693A6A373B1D9254D13B060997E8A50
公開範圍: 完全公開
危害等級: 中
文件長度: 49,152 字節
感染係統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02
命名對照: Symantec[無]SSS
      McAfee[無]

病毒描述:
   這是一個網絡蠕蟲病毒。它通過互聯網資源複制自身。該蠕蟲自身是一個 Windows PE EXE 文件,大小 49152 字節。使用 UPX 加密並且解密後,文件大小 219 KB 。它是使用 Borland Delphi 編寫的。運行後會從網站上一個木馬。

行爲分析:
1、病毒運行後衍生病毒文件到 Windows 根目錄:

%WinDir%\rundl132.exe

2、該蠕蟲注冊該文件到係統注冊表中以確保每次開機後自動加載。在 Win 98/Me 係統中:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"load"="%WinDir%\rundl132.exe"
在其它係統中:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%WinDir%\rundl132.exe"

3、該蠕蟲隨後檢測係統日期,如果係統日期晚於2105 年 1 月 4 日,它將終止活動。

4、該蠕蟲同樣會在係統根目錄下注冊一個名爲 Dll.dll 大小 24 575 字節的文件:

%WinDir%\dll.dll

5、蠕蟲隨後注冊動態鏈接庫到 Explorer.exe 和 Iexplore.exe 進程中,同時創建以下注冊表鍵值:

[HKLM\Software\Soft\DownloadWWW]
"auto"="1"
並開始從58.215.65.236:80下載木馬文件
%WinDir%\532793.DLL     文件大小:81,713 字節
%WinDir%\532793M.BMP    文件大小:53,248 字節

6、通過局域網傳播:

該蠕蟲複制自身到以下共享網絡資源:
ADMIN$
IPC$

7、該蠕蟲掃描該係統並且終止以下名稱的進程:

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
mcshield.exe
RavMon.exe
Ravmond.EXE
regsvc.exe

8、該蠕蟲同樣會查找除了以下目錄中的所有 EXE 文件:

Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Recycled
System
System Volume Information
system32
windows
Windows NT
WindowsUpdate
winnt

9、該蠕蟲會檢測以下文件名,並且將該蠕蟲本體注入這些程序文件:

ACDSee4.exe
ACDSee5.exe
ACDSee6.exe
AgzNew.exe
Archlord.exe
AutoUpdate.exe
autoupdate.exe
BNUpdate.exe
Datang.exe
editplus.exe
EXCEL.EXE
flashget.exe
foxmail.exe
FSOnline.exe
GameClient.exe
install.exe
jxonline_t.exe
launcher.exe
lineage.exe
LineageII.exe
MHAutoPatch.exe
Mir.exe
msnmsgr.exe
Mu.exe
my.exe
NATEON.exe
NSStarter.exe
Patcher.exe
patchupdate.exe
QQ.exe
Ragnarok.exe
realplay.exe
run.exe
setup.exe
Silkroad.exe
Thunder.exe
ThunderShell.exe
TTPlayer.exe
Uedit32.exe
Winrar.exe
WINWORD.EXE
woool.exe
zfs.exe

  當這些文件被運行時,將會執行一個被感染的病毒文件。

   在所有目錄中掃描擴展名爲 .exe 的文件,該蠕蟲創建一個文件名爲 "_desktop.ini" 的文件。該文件使用 " 隱藏 " 和 " 係統 " 屬性,並且包含該蠕蟲運行的日期。

10、該蠕蟲同樣發送一個 ICMP 請求使用“Hello, World”,來檢測可用的網絡資源。隨後掃描所有共享網絡資源並且感染以上所提到的文件。

11、該蠕蟲如果在係統中發現 avp.exe 進程則會將卷級別設置爲 0 。

12、該蠕蟲包含一個 URLs 地址列表來檢測文件。如果該文件被保存到任意一個地址,它將被下載到係統中並運行。


--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行爲分析刪除對應文件,恢複相關係統設置。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

rundl132.exe
dll.dll
532793.DLL
532793M.BMP

(2) 刪除病毒文件

%WinDir%\ rundl132.exe
%WinDir%\ dll.dll
%WinDir%\532793.DLL
%WinDir%\532793M.BMP

(3) 刪除病毒添加的注冊表項

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"load"="%WinDir%\rundl132.exe"
在其它係統中:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%WinDir%\rundl132.exe"



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣 | Posted:2006-12-29 14:32 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.077058 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言