就是这个
病毒分类 WINDOWS下的PE病毒 病毒名称 Worm.Viking.bo
别 名 病毒长度 216163字节
危害程度 传播途径
行为类型 WINDOWS下的蠕虫程序 感 染
病毒发作 瑞 星 版 本 号
18.29.33
Worm.Viking
这是一个使用[Delphi]编写的感染型蠕虫病毒。
该病毒主要通过枚举局域网磁盘资源进行传播。
该病毒只感染可执行文件。把宿主文件包在病毒的尾部,并把自己的图标替换为从宿主文件资源中提取的图标。
被感染的文件运行时,先执行病毒代码,然后释放并运行正常文件。
1、病毒运行后会把自己复制到%WINDIR%中,并释放一个动态库。
2、修改以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
添加键值"Load"
Win.ini的Windows节的Load项
3、病毒运行后会感染盘符从Z到C的所有“本地磁盘”(DRIVE_FIXED),
被感染的文件夹里会有一个名为“_desktop.ini”的文件,里面的内容为当前时间。
4、病毒有结束反病毒软件的行为
(1)病毒会搜索并使用"TerminateProcess"结束以下进程
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe
(2)病毒会向窗口名为RavMon.exe且窗口类名为RavMonClass的窗口发送WM_CLOSE消息结束该窗口。
(3)该病毒对“卡巴斯基”的监控有专门的处理。
病毒会通过waveOutGetVolume关闭操作系统声音,
然后每100毫秒搜索一次“主动防御 警报”和“文件保护 警报”窗口。搜索“允许”按钮,模拟鼠标点击。
并向卡巴斯基的通知窗口(ClassName:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。
如果连续4次没有找到窗口,还原系统声音,函数退出。
5、病毒会三次向进程注入释放出的动态库。
病毒首先枚举文件名为IEXPLORE.EXE的进程如果找到则注入其中,否则枚举文件名为explorer.exe的进程如果找到则注入其中。
6、病毒释放出来的动态库是一个Downloader。
不同的变种下载地址不同。
杀毒方法:
该病毒的感染方式仅是把正常的PE包在病毒的尾部。可以通过16进制编辑工具,手工恢复被感染的文件,但需要对PE结构有一些了解。
建议使用瑞星杀毒软件或者瑞星专杀工具杀毒。
