病毒标签：
病毒名称： Worm.Win32.Viking.ai
中文名称： 威金
病毒类型： 蠕虫
文件 MD5： 5693A6A373B1D9254D13B060997E8A50
公开范围： 完全公开
危害等级： 中
文件长度： 49,152 字节
感染系统： windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPX 0.89.6 - 1.02
命名对照： Symantec[无]SSS
　　　　 　McAfee[无]

病毒描述：
　　 这是一个网络蠕虫病毒。它通过互联网资源复制自身。该蠕虫自身是一个 Windows PE EXE 文件，大小 49152 字节。使用 UPX 加密并且解密后，文件大小 219 KB 。它是使用 Borland Delphi 编写的。运行后会从网站上一个木马。

行为分析：
1、病毒运行后衍生病毒文件到 Windows 根目录：

%WinDir%\rundl132.exe

2、该蠕虫注册该文件到系统注册表中以确保每次开机后自动加载。在 Win 98/Me 系统中：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"load"="%WinDir%\rundl132.exe"
在其它系统中：
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%WinDir%\rundl132.exe"

3、该蠕虫随后检测系统日期，如果系统日期晚于2105 年 1 月 4 日，它将终止活动。

4、该蠕虫同样会在系统根目录下注册一个名为 Dll.dll 大小 24 575 字节的文件：

%WinDir%\dll.dll

5、蠕虫随后注册动态链接库到 Explorer.exe 和 Iexplore.exe 进程中，同时创建以下注册表键值：

[HKLM\Software\Soft\DownloadWWW]
"auto"="1"
并开始从58.215.65.236:80下载木马文件
%WinDir%\532793.DLL　　　　 文件大小：81,713 字节
%WinDir%\532793M.BMP　　　　文件大小：53,248 字节

6、通过局域网传播:

该蠕虫复制自身到以下共享网络资源：
ADMIN$
IPC$

7、该蠕虫扫描该系统并且终止以下名称的进程：

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
mcshield.exe
RavMon.exe
Ravmond.EXE
regsvc.exe

8、该蠕虫同样会查找除了以下目录中的所有 EXE 文件：

Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Recycled
System
System Volume Information
system32
windows
Windows NT
WindowsUpdate
winnt

9、该蠕虫会检测以下文件名，并且将该蠕虫本体注入这些程序文件：

ACDSee4.exe
ACDSee5.exe
ACDSee6.exe
AgzNew.exe
Archlord.exe
AutoUpdate.exe
autoupdate.exe
BNUpdate.exe
Datang.exe
editplus.exe
EXCEL.EXE
flashget.exe
foxmail.exe
FSOnline.exe
GameClient.exe
install.exe
jxonline_t.exe
launcher.exe
lineage.exe
LineageII.exe
MHAutoPatch.exe
Mir.exe
msnmsgr.exe
Mu.exe
my.exe
NATEON.exe
NSStarter.exe
Patcher.exe
patchupdate.exe
QQ.exe
Ragnarok.exe
realplay.exe
run.exe
setup.exe
Silkroad.exe
Thunder.exe
ThunderShell.exe
TTPlayer.exe
Uedit32.exe
Winrar.exe
WINWORD.EXE
woool.exe
zfs.exe

　　当这些文件被运行时，将会执行一个被感染的病毒文件。

　　 在所有目录中扫描扩展名为 .exe 的文件，该蠕虫创建一个文件名为 "_desktop.ini" 的文件。该文件使用 " 隐藏 " 和 " 系统 " 属性，并且包含该蠕虫运行的日期。

10、该蠕虫同样发送一个 ICMP 请求使用“Hello, World”，来检测可用的网络资源。随后扫描所有共享网络资源并且感染以上所提到的文件。

11、该蠕虫如果在系统中发现 avp.exe 进程则会将卷级别设置为 0 。

12、该蠕虫包含一个 URLs 地址列表来检测文件。如果该文件被保存到任意一个地址，它将被下载到系统中并运行。


--------------------------------------------------------------------------------
清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

rundl132.exe
dll.dll
532793.DLL
532793M.BMP

(2) 删除病毒文件

%WinDir%\ rundl132.exe
%WinDir%\ dll.dll
%WinDir%\532793.DLL
%WinDir%\532793M.BMP

(3) 删除病毒添加的注册表项

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"load"="%WinDir%\rundl132.exe"
在其它系统中：
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%WinDir%\rundl132.exe"