名稱
進一步
進程檔案: rundl132 或 rundl132.exe進程位置: windir
程式名稱: Troj_AutoCrat.b.enc或Worm.Viking.cp威金
程式用途: 後門木馬病毒以竊取信息為主。或最新的病毒名稱:Worm.Viking.cp 中 文 名:“威金”蠕蟲變種CP
程式作者:
系統進程: 否
後台程式: 是
使用網路: 是
硬體相關: 否
安全等級: 低
進程分析:
該病毒修改win.ini檔案實現自啟動,使用與rundll32.exe相似的rundl132.exe檔案名稱。病毒運行後打開後門連線埠,允許惡意攻擊者控制計算機。病毒名稱:Worm.Viking.cp
中 文 名:“威金”蠕蟲變種CP
釋放vidll.dll到任何執行檔目錄下。
該病毒修改註冊表創建Run/Timer項實現自啟動,病毒檔案包括:0Sy.exe 1Sy.exe 2Sy.exe 3Sy.exe 4Sy.exe 5Sy.exe 6Sy.exe 7Sy.exe 8Sy.exe 9Sy.exe以及 0~9.exe等等 。
檔案編號:CISRT2006004
病毒名稱:Worm.Win32.Viking.i(AVP)
病毒別名:Worm.Viking.bp(瑞星)
病毒大小:27,194 位元組
加殼方式:UPack
樣本MD5:fe498f7687658c33547d72151111b93f
發現時間:2006.5.30
更新時間:2006.6.1
關聯病毒:
傳播方式:通過QQ尾巴、惡意網站傳播
技術分析:
1、運行後創建檔案:%Windows%\rundl132.exe
\vDll.dll(當前目錄)
2、建立自啟動項:
【HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows】
"load"="%Windows%\rundl132.exe"
3、vDll.dll將插入Explorer.exe或iexplore.exe進程。
4、病毒會使用net命令停止毒霸服務:
net stop "Kingsoft AntiVirus Service"
5、嘗試訪問共享網路ipc$和admin$,傳送ICMP用“Hello,World”探測。
6、生成的一些記錄檔案:
C:\gamevir.txt
C:\1.txt
C:\log.txt
7、變種logo1_.exe會感染(捆綁).exe檔案,在這個rundl132.exe的測試中沒有發現感染(捆綁).exe檔案的情況。
感染(捆綁).exe檔案,但不感染(捆綁)以下目錄中的.exe:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
8、嘗試修改HOSTS檔案:
%System32%\drivers\etc\hosts
9、添加註冊表信息:
【HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW】
"auto"="1"
10、嘗試訪問網路下載其它木馬病毒,有WOW、征途、QQ尾巴等木馬。
1.在系統目錄下生成一些病毒檔案,有0sy.exe,到9sy.exe,還有圖示為QQ的,圖為為迅雷的,為real播放器的,反正是很容易騙過你的圖示,名稱一律為rundl132.exe (32之前是個1不是l,rundll32.exe是系統檔案,是不是很會騙人?)
2.把迅雷和winrar的程式檔案替換掉使你無法運行這兩個程式,其他的程式有沒有被換掉我不知道,反正我看到了這兩個軟體是這樣.
3.打開進程管理器可以看到有rundl1.exe cmd.exe winxxx.exe xxx為數字且為隨機的且在C:\Documents and Settings\你的用戶名\Local Settings\temp下
