|
5月30日,老驴给我出个难题,见面第一句话“我的机子中标了,好象只针对.exe文件或uninstall,卡巴查出是Worm.Win32.Viking.i”,通过google给他找到了病毒的介绍和解决办法,最后索性让他把病毒文件发过来,在vm下自己分析了一下。本来想着是个别问题,结果发现这两天网络关于该病毒的消息越来越多,那就把我看到的一些东西跟大家分享一下吧。
一、病毒消息:
威金蠕虫肆虐互联网 九千用户十余企业遭攻击[图]
恶性病毒现身:穿透还原卡 杀死杀毒软件
二、病毒症状:
看了一些关于此病毒的症状,不完全统计如下:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。(严重表示怀疑!)
5、能绕过所有的还原软件。
6、下载并释放多个木马程序,包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe、svhost32.exe、rundll32.exe、dllz.dll、svchs0t.exe、C:\gamevir.txt、C:\1.txt 、C:\log.txt等等。
三、病毒分析:
根据病毒释放出来的文件,感觉它应该是W32.Looked病毒的某个变种,在symantec的官方站点检索一下,发现该病毒从2004年12月17日被发现,到最新变种被发现2006年5月29日,总计有7个变种,介绍如下:
通过对这几个病毒介绍的分析,我们发现该病毒除在个别版本中有所变动外,基本特征大体没有太多变化,而病毒作者必然是国人没错。
接着来分析一下Symantec定义的各变种病毒爆发后的操作:
病毒简介:该病毒是一个会从远端服务器下载文件并感染.exe文件的蠕虫病毒,它会降低安全防护的效能并通过网络共享传播自己。
感染系统:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP
病毒行为(有些行为可能只在某个变种体现):
1、(部分变种)创建文件%Windir%\rundl132.exe (A copy of W32.Looked.I),注意这里的文件名是rundl132.exe,不是rundll32.exe,%Windir%默认为C:\Windows或者C:\Winnt;
2、创建木马程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan),%CurrentFolder%表示病毒被初次执行时的目录,我见到的基本都在%Windir%下;
3、(部分变种)从远端服务器下载病毒程序到%Windir%\1.exe,并执行,有些变种下载的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件;
4、拷贝自身为%Windir%\Logo1_.exe;
5、在注册表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下创建键值"auto" = "1";
6、(部分变种)在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows创建键值"load" = "%Windir%\rundl132.exe";
7、(部分变种)停止服务Kingsoft AntiVirus Service;
8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE
9、从磁盘C到Y检索.exe文件并感染找到的文件,不会感染下列目录中的.exe文件:
·system
·system32
·windows
·Documents and Settings
·System Volume Information
·Recycled
·winnt
·Program Files
·Windows NT
·WindowsUpdate
·Windows Media Player
·Outlook Express
·Internet Explorer
·ComPlus Applications
·NetMeeting
·Common Files
·Messenger
·Microsoft Office
·InstallShield Installation Information
·MSN
·Microsoft Frontpage
·Movie Maker
·MSN Gamin Zone |
10、发送包含“Hello,World”字符串的ICMP包到192.168.0.30、192.168.8.1;
11、使用administrator和空口令尝试打开任何对ICMP包响应的计算机的\\ipc$和\\admin$目录;
12、拷贝自身到成功打开的共享目录;
13、检索成功打开的共享目录,寻找并感染.exe文件;
14、(部分变种)尝试结束下列进程:
·EGHOST.EXE
·IPARMOR.EXE
·KAVPFW.EXE
·KWatchUI.EXE
·MAILMON.EXE
·Ravmon.exe
·ZoneAlarm |
15、(部分变种)在hosts文件(默认位置:%system%\drivers\etc,%system%默认为C:\WINDOWS\system32\或C:\Winnt\system32)中添加内容,内容主要是将防病毒网站指向到本级或指定IP。
AcOol PS:
我分析的“Worm.Win32.Viking.i”病毒只包含了以上的7、8个步骤。 |
四、病毒查杀:
1、专杀工具:
2、手动查杀:
首先建议下在IceSword1.8,在IceSword中进行操作。
(1)在进程中找到并结束Logo1_.exe、rundl132.exe进程,未找到则直接跳过;
(2)找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目录中,%Windir%默认为C:\Windows或者C:\Winnt。
(3)打开注册表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,删除auto键值;
(4)打开注册表,索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows,删除load键值;
(5)打开%system%\drivers\etc下hosts文件,删除“127.0.0.1 localhost”一行后所有内容;
(6)升级病毒定义库,在安全模式下对全盘进行扫描。
五、补充说明:
根据这两天看到的消息,该病毒可能出现了新的变种,捆绑了QQ尾巴病毒,因为从老驴那里拿到的病毒体没有这个内容,限于个人水平也无法彻底分析明白,转述了“C.I.S.R.T 论坛”对各新变种的分析及解决办法,汇总为“ViKing病毒专题”,大家可以根据自己的情况采取相应的查杀方式。
六、参考:
·http://soft.yesky.com/security/42/2431542.shtml
·http://forum./topic.asp?board=28&artid=8037807
·http://safebbs.it168.com/redirect.php?tid=8032&goto=lastpost
·http://www./cisrt/forumdisplay.php?fid=12
·http:///articles/virus/analyze/2006/0608/264.h
|
