你好,我是gtddg。 在辛条哥哥的指示下,我决定向大家分发。 在此感谢辛条哥。 大家可以关注辛条哥。 他的号码是“五包辛条”。
今天我们来谈谈06年国内常见的悲伤龙猫,臭名昭著的熊猫烧香亲戚维基病毒。 说真的,我觉得熊猫是维基病毒的变种。 当然,我们现在开始。
威尔金病毒,原名Worm.Viking.dr,蠕虫类,变种800多种,其中最臭名昭著的是由ssdkh撰写的变种熊猫烧香。
现在,网上只有熊猫变种的照片。 一万粉坏了,我运行虚拟机给你看。 现在在网上收集张数吧。
感染系统: Windows9X系列、NT、2000、XP、7
请不要问为什么Windows7可以感染。 因为有一种变种叫金猪
传染途径:通过感染文件、局域网或其他病毒下载感染。 该病毒会自动在后台下载并运行其他病毒,如“QQ路径”。
特征:病毒运行后,将自身复制到Windows文件夹下。 文件名如下。
%SystemRoot%rundl132.exe
运行受感染的文件时,病毒会将病毒体复制到以下文件:
%SystemRoot%logo_1.exe
病毒在病毒文件夹下生成。
病毒目录vdll.dll
病毒会从z驱动器向前搜索所有可用分区的exe文件,并感染所有27kb-10mb大小的可执行文件。 在受感染的文件夹中生成。
desktop.ini (文件属性:系统,隐藏。 )
病毒将被修复。 % sysroot %system32driversetchosts文件。
病毒添加以下注册表项,打开病毒电源并自动运行:
[ HKEY _ local _ machinesoftwareMicrosoftwindowscurrent versionrun ]
“load”=“c :win ntrundl 132.exe”
[ HKEY _ current _ usersoftwareMicrosoftwindows ntcurrent versionwindows ]
“load”=“c :win ntrundl 132.exe”
在运行时尝试查找表单名称为" RavMonClass "的程序,找到表单后发送消息关闭该程序。
病毒会查找防病毒软件的进程名称,找到后终止该进程。 示例:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
病毒使用以下命令退出相关的病毒删除软件:
net stop“kingsoftantivirusservice”
发送ICMP探测数据“Hello,World”,确定网络状态,列出内部网中的所有共享主机(如果网络可用), ipckatexparseerror 3360 undefinedcontror 3360
感染用户计算机上的exe文件,但不会感染以下文件夹中的文件:
系统
system32
windows
文档和设置
系统卷信息
已接收
维尼特
程序文件
Windows NT
windows更新
windows媒体播放器
Outlook Express
internet资源管理器
计算机应用程序
NetMeeting
公共文件
消息传递器
微软办公
安装shieldinstallationinformation
MSN
微软前端页面
移动标记器
MSN Gaming Zone
下一个系统进程选择性地将病毒dll(vdll.dll )注入与下一个进程名称对应的进程中。
资源管理器
Iexplore
找到符合条件的流程后,随机注入上述两个流程之一。
当外部网可用时,注入的dll文件将尝试连接到以下站点下载并运行相关程序:
https://www.17**.com/gua/zt.txt被存储为c:(1.txt
http://www.17**.com/gua/wow.txt另存为c:1.txt
http://www.17**.com/gua/mx.txt被存储为c:(1.txt
http://www.17**.com/gua/zt.exe另存为%SystemRoot%�Sy.exe
http://www.17**.com/gua/wow.exe另存为%SystemRoot%1Sy.exe
http://www.17**.com/gua/mx.exe
:%SystemRoot%2Sy.exe三个程序都为 木马程序
病毒会将下载后的"1.txt"的内容添加到以下相关 注册表项:
[HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW]
“auto”=“1”
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows]
“ver_down0”="[boot loader]\\\\+++++++++++++++++++++++"
“ver_down1”="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴WINDOWS=“Microsoft Windows XP Professional” "
“ver_down2”=“default=multi(0)disk(0)rdisk(0)partition⑴WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition⑴WINDOWS=“Microsoft Windows XP Professional” /”
威金 病毒变种类型有以下:
Worm/Viking.aof// 病毒类型: 蠕虫
I-Worm/Warezov.fl// 病毒类型: 蠕虫
Worm.Xiazaizhe.a // 病毒类型: 蠕虫
Worm.Viking.ss //病毒类型: 蠕虫
Trojan/DDos.Agent.r// 病毒类型: 木马
setup.exe病毒(Worm.Viking)
在那个时候,常上网的话,容易中logo1_exe rundl132.exe这个变种
它有传播的端口。
手杀方法有两种:
1.重启,并进 安全模式。
杀毒:
显示 隐藏文件:
打开“ 我的电脑”——工具—— 文件夹选项——查看
把“隐藏受保护的 操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
勾中“显示所有文件和文件夹”
在系统安装文件夹内<;一般是C:WINDOWS和C:WINDOWSsystem32>/用搜索找到你所中病毒<;比如找logo_1.exerundl132.exe> 完全删除之 然后都建立名为"logo1.exe"、"rundl132.exe"的空文件夹/并把属性设为“只读”,这样病毒也就无法运行了。
在所有的硬盘中删除 desktop.ini。
清空IE浏览产生的垃圾和记录文件。
2.同时按下CTRL,ALT,DEL三键打开任务管理器,结束病毒<;比如logo1.exe>;进程.
同样需要删除 操作系统盘(一般是C盘)winnt目录下的logo1_.exe文件.
运行gpedit.msc打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 病毒的源文件。把默认共享关闭,给ADMINISTRATOR组所有成员设置 密码。防止 病毒重新启动。
现在网上还有一些新的变种。
我是gtddg,我们下次见。