2005年被首次發現的“威金”病毒在2006年下半年開始發威,病毒具備了木馬和蠕蟲的雙重特征,並且能夠通過網絡傳播,眾多中小企業局域網被該病毒攻擊癱瘓,2006年該病毒被用戶上報的次數達36728393次,感染了446450臺電腦,無論從病毒的傳播範圍還是在破壞性上,“威金”都遠遠超過其它病毒,成為2006年名副其實的“毒王”。 2006年上半年被評為毒王的“灰鴿子”病毒從下半年開始被“威金”病毒搶了風頭,位居第二。
近日挪威壹家銀行遭到病毒攻擊,該病毒文件名為Logo_1.exe,與近期國內瘋狂肆虐的“熊貓燒香”病毒特征十分類似,據江民反病毒專家介紹,從國外的報告來看,報道所說的病毒應該是“威金”蠕蟲變種之壹,但還不能確定究竟是威金的哪個變種感染了挪威的銀行。
有人懷疑攻擊挪威銀行的是“熊貓燒香”病毒,其實是在替2006年“毒王”“威金”背黑鍋。據江民反病毒專家介紹,肆虐互聯網的“熊貓燒香”病毒實際上就是2006年“毒王”“威金”的壹個變種,其除了具有“熊貓燒香”這個明顯的圖案外,和“威金”沒無本質區別
最近大家在使用計算機的時候可能會出現如下壹些問題:
1. 某些殺毒軟件的實時監控無法啟動(例如:瑞星的實時監控中心)
2. 部分圖標變得模糊
3. 進程裏面出現例如 Logo_1.exe , 0Sy.exe等莫名其妙的東西
4. C盤隱藏文件出現 _desktop.ini(隱藏文件)
5. 磁盤的autorun被修改,以至於雙擊磁盤盤符時提示出錯
筆者在使用過程中遇到了這樣的情況的,隨即用瑞星2006的殺毒軟件進行殺毒,但是無法徹底清除。在查閱了相關的資訊以後確認:這是感染了"威金"病毒。
以下是威金的相關檔案:
該病毒為Windows平臺下集成可執行文件感染、網絡感染、下載網絡木馬或其它病毒的復合型病毒,病毒運行後將自身偽裝成系統正常文件,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過線程註入技術繞過防火墻的監視,連接到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉內網的所有可用***享,並嘗試通過弱口令方式連接感染目標計算機。
運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。
病毒主要通過***享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
1、病毒運行後將自身復制到Windows文件夾下,文件名為:
%SystemRoot%rundl132.exe
2、運行被感染的文件後,病毒將病毒體復制到為以下文件:
%SystemRoot%logo_1.exe3、同時病毒會在病毒文件夾下生成:
病毒目錄vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%system32driversetchosts文件。
6、病毒通過添加如下註冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"load"="C:WINNTrundl132.exe"
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load"="C:WINNTrundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。
8、枚舉以下殺毒軟件進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟件:
net stop "Kingsoft AntiVirus Service"
10、發送ICMP探測數據"Hello,World",判斷網絡狀態,網絡可用時,
枚舉內網所有***享主機,並嘗試用弱口令連接IPC$、admin$等***享目錄,連接成功後進行網絡感染。
11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性註入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機註入以上兩個進程中的其中壹個。
13、當外網可用時,被註入的dll文件嘗試連接以下網站下載並運行相關程序:
/gua/zt.txt 保存為:c:1.txt
/gua/wow.txt 保存為:c:1.txt
/gua/mx.txt 保存為:c:1.txt
/gua/zt.exe
保存為:%SystemRoot%0Sy.exe
/gua/wow.exe 保存為:%SystemRoot%1Sy.exe
/gua/mx.exe 保存為:%SystemRoot%2Sy.exe
註:三個程序都為木馬程序
14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項:
[HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows]
"ver_down0"="[boot loader]+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional" /////"