Viking病毒一直困扰着广大用户,自06年5月被截获以来,受Viking感染的计算机一直居高不下,该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力强。该病毒会感染用户的exe文件,每次运行exe文件都会运行病毒文件,占用大量系统资源。目前,根据超级巡警团队统计,该病毒已出现 460个变种之多。在近一年的时间内,该病毒为什么能杀之不绝?怎样检测是否中毒?发现病毒应该如何去做?本文将帮助你对该病毒进行有效的预防与查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Viking
病毒别名:威金,维金
病毒类型:蠕虫
危害级别:5
感染平台:Windows 平台
病毒分析:
1、运行后的文件行为:病毒文件或被感染文件运行后,释放如下文件:
%ProgramFiles%\svhost32.exe //不同的变种生成的文件会有所不同,但大多数变种会释放以上文件。
%windir%\logo1_.exe
%windir%\rundl132.exe
%windir%\dll.dll
病毒运行后会遍历各个目录,在各个目录下生成_desktop.ini文件并写入感染病毒的日期;找到exe文件并写入病毒体。被感染文件的图标会发生变化,会不如原来清晰。
2、注册表行为:添加注册表启动项键值确保重启动后被自动加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Windows
键名:rundl132.exe
键值:"load"="%Windows%\rundl132.exe" //注意不是rundll32.exe
3、其他行为:
从相应网站下载木马运行。多为盗取QQ和网游用户名和密码的木马。
关闭大多数杀毒软件。
尝试访问局域网内\ipc$、\admin$共享感染其它计算机上的exe文件。
二、维金为什么难以彻底清除
因为病毒会感染exe文件,如果仅仅删除了内存中的病毒文件,不对已感染的文件进行修复的话,当用户运行已感染文件的时候,病毒就会立即发作,重新感染exe文件。那么保证系统内没有被感染的文件,就能高枕无忧了吗?当然不能了。因为病毒会访问局域网上的共享目录和有弱口令的机器,从而传播病毒。所以你有共享目录或存在弱口令的话,而你所在的局域网又有被感染的机器,viking就又回来了。该病毒还会停止大多数的杀毒软件,使用户得不到危险提示,从而延长了病毒存活和传播的时间。
三、怎样辨别是否已感染了维金病毒
如果你的图标有一部分变的模糊了,你可能已经中了viking了。这时,杀毒软件莫名其妙的不工作了,很多文件夹下都出现了_desktop.ini 文件,进程中出现了Logo_1.exe,rundl132.exe。这一切表明你已经中了viking或它的变种了,你的机器的反应速度会越来越慢。如果你在局域网中的话,你周围的机器也有可能会出现与你相似的情况。这时,杀毒是你唯一的出路。
四、如何恢复已被感染的文件
如果你是个人用户,并没有过修复被病毒感染的文件,那么建议你不要进行手工修复,只要下载超级巡警或超级巡警提供的专杀,轻松几下点击,你的系统就会完好如初了。
对于高级用户,你可以手工修复受损文件,然后用超级巡警对系统进行全面扫描,确保彻底清理。
五、对于预防病毒的建议
打开杀毒软件的实时监控还是必要的。不要随意共享可写的本机目录,共享时要加上密码。要确保机器上不存在含有弱口令的帐号。要及时升级系统及杀毒软件。新拷贝的文件,尤其是exe文件,要进行查毒。
超级巡警下载地址:http://www.dswlab.com/download.html