崇州树德怀远中学:求助： Worm.Viking这是什么病毒

Worm.Viking

这几天一直看到不少求援的帖子，从帖子内容看一直都只认为是个QQ尾巴，通过QQ自动发送如下消息：
看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG时注意到rundl132.exe这个文件，此外，某个杀软会不断提示logo_1.exe这个东西。

拿到样本后才知道不是这么简单，各大杀软都对这个病毒做了应急处理。参考各杀软厂商的分析结果做如下简介：
病毒被激活后，释放以下文件：
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll

添加以下启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%SystemRoot%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%SystemRoot%\rundl132.exe"

感染所有分区下大小27KB-10MB的可执行文件（但不感染系统文件夹和programe files文件夹下的文件），并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话，恭喜恭喜，估计十有八九已遭遇不幸了，并且感染后会造成一些网友说的“EXE文件图标花了”

通过不安全的共享网络传播，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\IPC$、\admin$等共享目录，连接成功后进行网络感染。

结束一些国内的反病毒软件进程，如毒霸，瑞星，木马客星等。

vdll.dll注入Explorer或者Iexplore进程，当外网可用时，下载其他木马程序(如前段时间比较BT的红底黑色龙头图案的WINLOGON)。

将拿到的几个样本文件看了下，其中rundl132.exe为病毒文件，VThunder为感染后的文件，Thunder为原文件。
winhex将这3个文件打开，发现感染方式为“头寄生”，VThunder文件头被插入了rundl132的代码。
rundl132.exe

VThunder.exe

Thunder.exe

offset删除至00069E6后另存为，即可还原到原来的thunder了。

小空在这里提醒大家，对这个病毒防范胜于查杀。目前，包括毒霸在内的部分杀软可以较好的处理感染后的EXE文件，但部分杀软采取的方法却是直接删除，这可不是件好事。因此，小空建议你，及时升级你的杀软，并打开实时监控；安装一款防火墙；关闭不必要的网络共享；通过在线更新等给系统打好补丁；给管理员帐户加上足够强壮的密码；对于来历不名的文件不要随意运行。

原文链接如下：http://kongzhizhen.bokee.com/5157695.html

是蠕虫病毒 有多个变种 暂时还没有专杀工具 这个病毒很讨厌，该病毒是一种运行在Windows平台下，集成“可执行文件感染”、“网络感染”、“下载网络木马或其它病毒”的复合型病毒，具有极强的破坏性。该病毒主要通过共享目录、弱密攻击、感染系统文件、做为邮件的附件等方式进行传播

建议断网使用金山或者瑞星等杀毒软件更新到6月2号之后的版本进行查杀，但是exe文件可能在杀毒之后无法打开。。。

用木马清道夫