IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 深透研究病毒3—威金病毒 -> 正文阅读

[系统运维]深透研究病毒3—威金病毒

大家好,我是小风,经过辣条哥的指点,我决定给大家配配图,在此感谢辣条哥,大家可以去关注关注辣条哥,他的号叫做:五包辣条!
今天我们来讲06年一种国内常见的、令人厌恶的、臭名昭著的熊猫烧香的亲戚—威金病毒,说真的,我认为,熊猫就是威金病毒的变种。话不多说,我们现在开始。
威金病毒,原名:Worm.Viking.dr,属蠕虫病毒类,它的变种有八百多个,其中,最臭名昭著的就是李俊编写的变种:熊猫烧香。
如今网上只有熊猫变种的图片,等破一万粉,我就开始虚拟机运行来拍给你们看看,现在我就上网找张凑个数吧。
威金病毒变种
感染系统:Windows9X系列、NT、2000、XP、7
别问我为什么Windows7可以感染,因为它有一个变种叫做金猪报喜
传染途径:通过感染文件、局域网以及其他病毒下载传播。该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒。
特征:病毒运行后将自身复制到Windows文件夹下, 文件名为:
%SystemRoot%\rundl132.exe
运行被感染的文件后, 病毒将 病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
同时 病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的 可执行文件,感染完毕在被感染的文件夹中生成:
desktop.ini(文件属性:系统、隐藏。)
病毒会修改:%SysRoot%\system32\drivers\etc\hosts文件。
病毒通过添加如下 注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“load”=“C:\WINNT\rundl132.exe”
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
“load”=“C:\WINNT\rundl132.exe”
病毒运行时尝试查找窗体名为:“RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
病毒会查找杀毒 软件进程名,查找到后终止其进程,例如:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
同时 病毒会利用以下命令终止相关杀病毒 软件:
net stop “Kingsoft AntiVirus Service”
发送ICMP探测数据"Hello,World”,判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\IPCKaTeX parse error: Undefined control sequence: \admin at position 2: 、\?a?d?m?i?n?等共享目录,连接成功后进行网络感染。
感染用户机器上的 exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShieldInstallation Information
MSN
MicrosoftFrontpage
Movie Maker
MSN Gaming Zone
以下系统进程,会将 病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
https://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
三个程序都为 木马程序
病毒会将下载后的"1.txt"的内容添加到以下相关 注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
“auto”=“1”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
“ver_down0”="[boot loader]\\\\\\\\+++++++++++++++++++++++"
“ver_down1”="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴\WINDOWS=“Microsoft Windows XP Professional” "
“ver_down2”=“default=multi(0)disk(0)rdisk(0)partition⑴\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴\WINDOWS=“Microsoft Windows XP Professional” /”
威金 病毒变种类型有以下:
Worm/Viking.aof// 病毒类型: 蠕虫
I-Worm/Warezov.fl// 病毒类型: 蠕虫
Worm.Xiazaizhe.a // 病毒类型: 蠕虫
Worm.Viking.ss //病毒类型: 蠕虫
Trojan/DDos.Agent.r// 病毒类型: 木马
setup.exe病毒(Worm.Viking)
在那个时候,常上网的话,容易中logo1_exe rundl132.exe这个变种
它有传播的端口。
手杀方法有两种:
1.重启,并进 安全模式。
杀毒:
显示 隐藏文件:
打开“ 我的电脑”——工具—— 文件夹选项——查看
把“隐藏受保护的 操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
勾中“显示所有文件和文件夹”
在系统安装文件夹内<;一般是C:\WINDOWS和C:\WINDOWS\system32>/用搜索找到你所中病毒<;比如找logo_1.exerundl132.exe> 完全删除之 然后都建立名为"logo1
.exe"、"rundl132.exe"的空文件夹/并把属性设为“只读”,这样病毒也就无法运行了。
在所有的硬盘中删除 desktop.ini。
清空IE浏览产生的垃圾和记录文件。
2.同时按下CTRL,ALT,DEL三键打开任务管理器,结束病毒<;比如logo1
.exe>;进程.
同样需要删除 操作系统盘(一般是C盘)winnt目录下的logo1_.exe文件.
运行gpedit.msc打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 病毒的源文件。把默认共享关闭,给ADMINISTRATOR组所有成员设置 密码。防止 病毒重新启动。
现在网上还有一些新的变种。
我是小风,我们下次见。

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-07-25 12:01:39  更:2021-07-25 12:03:29 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 11:33:16-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计