大家好,我是小风,经过辣条哥的指点,我决定给大家配配图,在此感谢辣条哥,大家可以去关注关注辣条哥,他的号叫做:五包辣条! 今天我们来讲06年一种国内常见的、令人厌恶的、臭名昭著的熊猫烧香的亲戚—威金病毒,说真的,我认为,熊猫就是威金病毒的变种。话不多说,我们现在开始。 威金病毒,原名:Worm.Viking.dr,属蠕虫病毒类,它的变种有八百多个,其中,最臭名昭著的就是李俊编写的变种:熊猫烧香。 如今网上只有熊猫变种的图片,等破一万粉,我就开始虚拟机运行来拍给你们看看,现在我就上网找张凑个数吧。 感染系统:Windows9X系列、NT、2000、XP、7 别问我为什么Windows7可以感染,因为它有一个变种叫做金猪报喜 传染途径:通过感染文件、局域网以及其他病毒下载传播。该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒。 特征:病毒运行后将自身复制到Windows文件夹下, 文件名为: %SystemRoot%\rundl132.exe 运行被感染的文件后, 病毒将 病毒体复制到为以下文件: %SystemRoot%\logo_1.exe 同时 病毒会在病毒文件夹下生成: 病毒目录\vdll.dll 病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的 可执行文件,感染完毕在被感染的文件夹中生成: desktop.ini(文件属性:系统、隐藏。) 病毒会修改:%SysRoot%\system32\drivers\etc\hosts文件。 病毒通过添加如下 注册表项实现病毒开机自动运行: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “load”=“C:\WINNT\rundl132.exe” [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] “load”=“C:\WINNT\rundl132.exe” 病毒运行时尝试查找窗体名为:“RavMonClass"的程序,查找到窗体后发送消息关闭该程序。 病毒会查找杀毒 软件进程名,查找到后终止其进程,例如: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe 同时 病毒会利用以下命令终止相关杀病毒 软件: net stop “Kingsoft AntiVirus Service” 发送ICMP探测数据"Hello,World”,判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPCKaTeX parse error: Undefined control sequence: \admin at position 2: 、\?a?d?m?i?n?等共享目录,连接成功后进行网络感染。 感染用户机器上的 exe文件,但不感染以下文件夹中的文件: system system32 windows Documents and settings system Volume Information Recycled winnt Program Files Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer ComPlus Applications NetMeeting Common Files Messenger Microsoft Office InstallShieldInstallation Information MSN MicrosoftFrontpage Movie Maker MSN Gaming Zone 以下系统进程,会将 病毒dll(vdll.dll)选择性注入以下进程名对应的进程: Explorer Iexplore 找到符合条件的进程后随机注入以上两个进程中的其中一个。 当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序: https://www.17**.com/gua/zt.txt 保存为:c:\1.txt http://www.17**.com/gua/wow.txt 保存为:c:\1.txt http://www.17**.com/gua/mx.txt 保存为:c:\1.txt http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe http://www.17**.com/gua/wow.exe保存为:%SystemRoot%\1Sy.exe http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe 三个程序都为 木马程序 病毒会将下载后的"1.txt"的内容添加到以下相关 注册表项: [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] “auto”=“1” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows] “ver_down0”="[boot loader]\\\\\\\\+++++++++++++++++++++++" “ver_down1”="[boot loader] timeout=30 [operating systems] multi(0)disk(0)rdisk(0)partition⑴\WINDOWS=“Microsoft Windows XP Professional” " “ver_down2”=“default=multi(0)disk(0)rdisk(0)partition⑴\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition⑴\WINDOWS=“Microsoft Windows XP Professional” /” 威金 病毒变种类型有以下: Worm/Viking.aof// 病毒类型: 蠕虫 I-Worm/Warezov.fl// 病毒类型: 蠕虫 Worm.Xiazaizhe.a // 病毒类型: 蠕虫 Worm.Viking.ss //病毒类型: 蠕虫 Trojan/DDos.Agent.r// 病毒类型: 木马 setup.exe病毒(Worm.Viking) 在那个时候,常上网的话,容易中logo1_exe rundl132.exe这个变种 它有传播的端口。 手杀方法有两种: 1.重启,并进 安全模式。 杀毒: 显示 隐藏文件: 打开“ 我的电脑”——工具—— 文件夹选项——查看 把“隐藏受保护的 操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉; 勾中“显示所有文件和文件夹” 在系统安装文件夹内<;一般是C:\WINDOWS和C:\WINDOWS\system32>/用搜索找到你所中病毒<;比如找logo_1.exerundl132.exe> 完全删除之 然后都建立名为"logo1.exe"、"rundl132.exe"的空文件夹/并把属性设为“只读”,这样病毒也就无法运行了。 在所有的硬盘中删除 desktop.ini。 清空IE浏览产生的垃圾和记录文件。 2.同时按下CTRL,ALT,DEL三键打开任务管理器,结束病毒<;比如logo1.exe>;进程. 同样需要删除 操作系统盘(一般是C盘)winnt目录下的logo1_.exe文件. 运行gpedit.msc打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 病毒的源文件。把默认共享关闭,给ADMINISTRATOR组所有成员设置 密码。防止 病毒重新启动。 现在网上还有一些新的变种。 我是小风,我们下次见。
|