一、病毒评估
1、病毒中文名: 威金蠕虫
2、病毒英文名: (Worm.Viking)
3、病毒类型:蠕虫病毒
4、病毒危险等级:★★★
5、病毒传播途径:网页
6、病毒依赖系统:Windows 9X/NT/2000/XP
二、技术分析:
1、 病毒释放以下文件:
%SystemRoot%Rundll32.exe
%SystemRoot%logo_1.exe
病毒目录vdll.dll
2、 添加如下启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun]
"load"="C:Windowsrundl132.exe"
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNT
CurrentVersionWindows]
"load"="C:Windowsrundl132.exe"
病毒感染大小在27KB-10MB间的EXE文件(不感染系统文件夹和%ProgramFiles%文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。
vdll.dll注入Explorer.exe或者iexplore.exe进程,以绕过防火墙下载其他木马程序。结束一些反病毒软件进程。
3、威金蠕虫感染Windows可执行文件,并会查找局域网中所有的共享计算机,尝试猜解它们的密码,试图感染这些计算机。该病毒还会自动在后台下载并运行“西游木马”等,窃取网络游戏玩家的账号和密码并发送给黑客。同时,该病毒还会下载一个QQ病毒,自动向用户的QQ好友发送内容为“看看啊。我最近的照片~才扫描到QQ相册上的!”的消息并附带一个网址,其他用户点击消息中的网址就可能被病毒感染。