刚刚去查了一下记录 10/31 中的毒(中毒的电脑是网咖的gameserver)
是 威金VIKING 的变种病毒(DEKTOP.INI的变种系列)
顺便po它的相关资讯
中毒时会run的档名 rundl132.exe,logo_1.exe,~.exe
手工清除病毒,注册表之后,被感染的EXE文件依然无法清除。一旦运行被感染的exe文件,病毒再次发作。网上流传的建立假病毒文件设为系统属性免疫方法无效,杀毒软件,专杀工具更无效。(除非你杀完毒,删除你硬盘上的所有小于10M的exe 文件)
彻底解决方式,运行windows的自动更新,安装2006年9月17日的更新补丁:windows xp KB917537安全更新。所有问题彻底解决。
Windows 2000:
http://download.microsoft.com/download/f/c/7/fc71d0c6-9346-...ws2000-KB917537-x86-CHS.EXEWindows XP:
http://download.microsoft.com/download/6/2/2/62259943-9b98...dowsXP-KB917537-x86-CHS.exe症状:
注册表加载 windows\rundl132.exe, 删除后自动恢复.
进程中有logo_1.exe
执行EXE文件时,自动生成~exe文件,比如安装setup.exe时,自动复制setup~.exe文件.
图标变大变灰。
该毒最大的「优点」就是会自动查找你硬盘上的一些EXE文件(好像是随机的)附加。(这种worm类病毒曾在DOS下是很让人头疼的事,曾是一个dir就感染了整个目录。)这样一来,即使你清掉内存中的病毒也于事无补,因为你总要运行电脑上的exe文件。
清除内存和病毒生成的文件后,又观察了病毒的运行结果,发现病毒是在windows目录下生成vdll.dll,logo1_.exe,rundl132.exe这三个文件。
又经过实验,vdll.dll注入exeplorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe
病毒也是程序,只要不给它执行的空间,它就很乖了。
WINDOWS对内存中的程序文件都有保护机制,利用这个特点,可以抢在病毒之前,先执行两个你开机必执行的程序,这样病毒就无法产下自己的孩子了。
一、清除病毒文件和内存中的vdll.dll。
二、保证开机只运行必要的几个进程。
三、无敌小闹钟改名为logo1_.exe放在windows目录下,并立刻执行,然后在注册表中加入开机执行它。
四、把windows\system32下的ctfmon.exe,复制到windows目录下,并改名为rundl132.exe,并立即执行。
大功告成!!!病毒的两个孩子名字logo1_.exe,rundl132.exe由于被你抢先占用了,它们只好死好娘肚子里,哇哈哈哈。(是不是太残忍,如果你不忍心,就让它们出来吧)
这病毒会让你的某些EXE不能正常运行,如果某个软件不能正常运行,你重新安装就是了,病毒再没有机会发作了
-----------------------------------------------------------------------------------------------------------------------------------------
W32.Looked
该病毒临床症状:
1.感染所有的EXE文件
2.W32.Looked.I 蠕虫,执行后会在系统生成:%Windir%
undl132.exe, %CurrentFolder%vDll.dll 等病毒文件; 并在注册表添加系统服务随系统启动,试图终止安全相关的程序,终止系统重要进程,注入自身到DLL组件,vdll.dll到iexplore.exe,explore.exe,全盘搜索.exe文件,并注入自身到这些文件,无法清除, 使系统文件全部都染病毒
3.中止大部分的杀毒软件进程,诺顿可以隔离。但是结果是EXE文件全部执行不了
4.在共享的打印机上不停的打印,内容为当天日期
5.在C:\winnt 或是 windows生成Logo1_.exe , rundl132.exe,bootconf.exe几个文件,感染应用程序的速度非常快,只要你一用到某个应用程序,马上就会被感染,并且Logo1_.exe 会变成此应用程序的图标.
6.在局域网内部中传播相当快,能通过信使传播,但已禁用信使的电脑也能被感染,不知道它有多少传播途径.
7.被感染的机子很难清除干净,在某些电脑上的每一个文件夹还会有一个 _desktop 的记事本文件,内容为当前日期
病毒特性:
Win32.Looked.S是一种通过网络共享感染文件的蠕虫。它是大小为27,075字节,以Upack格式压缩的Win32可运行程序。它生成一个23,040字节的DLL文件,用来下载并运行二进制运行程序。
感染方式:
运行时,Win32.Looked.S使用以下文件名复制到%Windows%目录:
rundl132.exe Logo1_.exe
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt,windows95/98/me中默认的安装路径是C:\Windows,windowsXP中默认的安装路径是C:\Windows。
它还会修改注册表,为了在每次系统启动时运行"rundl123.exe"文件:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\rundl132.exe"随后,蠕虫在当前目录生成一个DLL文件"vDll.dll"。它会注入Explorer程序,并被用来下载和在Explorer程序中启动程序。
蠕虫还会生成"SemaphoreMe",以确保每次只有一个副本运行。
传播方式 :
通过感染文件传播
Looked.S在硬盘的z:/ 到 c:/ 驱动器循环搜索。它从本地根目录开始,感染扩展名为.exe的文件。蠕虫预谋自己到目标文件,并将文件大小增长到27,075字节。蠕虫不感染超过10,485,760字节的文件,或者带有以下名称的子文件夹中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
\Program Files\Windows NT
\Program Files\WindowsUpdate
\Program Files\Windows Media Player
\Program Files\Outlook Express
\Program Files\Internet Explorer
\Program Files\ComPlus Applications
\Program Files\NetMeeting
\Program Files\Common Files
\Program Files\Messenger
\Program Files\Microsoft Office
\Program Files\Install Shield Installation Information
\Program Files\MSN
\Program Files\Microsoft Frontpage
\Program Files\Movie Maker
\Program Files\MSN Gaming Zone
蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期,是无害的txt文件。
通过网络共享传播
蠕虫尝试通过IPC$ 和 admin$共享进行传播,使用'administrator'用户名和空口令。它还会尝试很多自带的用户名和密码,包括一个空用户名和口令。
蠕虫通过发送包括"Hello,World"数据的ICMP信息包到本地C类地址段目标IP地址来探测潜在目标。
危害
下载并运行任意文件
蠕虫从"17dk.com"域下载很多文本和二进制文件。它还会尝试下载2个文本文件和2个运行文件。二进制运行文件下载到%Windows%目录,并随后运行。
终止进程
Looked.S会终止以下运行的进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe
停止服务
如果以下服务在系统上运行,蠕虫将停止这个服务:
Kingsoft AntiVirus Service
关闭窗口
Looked.S搜索带有"Ravmon.exe"标题的窗口,类别名为"RavMonClass"。如果找到,蠕虫就会关闭这个窗口。
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的exe文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及xp系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为virdll.dll的文件。
%windir%virdll.dll
该蠕虫会在系统注册表中生成如下键值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%system%driversetchosts 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源:
admin$
ipc$
症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt
蠕虫会从内存中删除下面列出的进程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
