查看完整版本: [-- 给大家介绍个病毒~~~~最好都来杀下毒~ --]

【 浮游城 - Castle in the Sky | 开放邀请注册,PS|SS|WII|DC下载研究中心 】 -> 【 网通六区 | 阿努巴拉克-聖乂神殿 】 -> 给大家介绍个病毒~~~~最好都来杀下毒~ [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题

blackcat大人 2006-09-27 04:42

该病毒被命名为“威金蠕虫变种BO(Worm.Viking.bo)”病毒。瑞星反病毒专家介绍说,该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。

  瑞星病毒疫情监测网监测提供的数据表明,截至5日14点,共有9600余名个人用户和10余家企业用户被该病毒感染。病毒会扫描局域网中的所有共享计算机,尝试猜解它们的密码,并试图感染这些计算机。病毒的传播、扫描、网络下载等会消耗大量资源,局域网中只要有一台机器中毒,就可能造成全网运行不正常,甚至造成网络堵塞。中毒后,必须采用具备全局管理功能的网络版杀毒软件才能彻底清除。

根据瑞星技术部门的分析,“威金蠕虫变种BO”进入用户的电脑之后,会通过网络下载“西游木马”、“江湖木马”、“密西病毒”以及“魔兽木马”等程序并安装,试图窃取上述网络游戏的帐号、密码和装备。同时,该病毒还会下载并安装一个QQ尾巴病毒,再利用中毒电脑的QQ疯狂发送垃圾信息,并借机进行传播该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
  %SystemRoot%\rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝时Ρ改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"


10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。

11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
___________________________________________________________

后半周比较突出的是现在仍未得到很好处理的LOGO1_.exe木马病毒,看上去,这个木马病毒会盗一些密码发送到指定的信箱中,更难缠的是它会将自己捆绑附加到EXE文件中(加在前端),当被捆绑的EXE文件运行后病毒会再次被激活,较难处理。

1~感染系统文件,造成系统损坏,且手动清除困难;

2~下载恶性木马。盗取魔兽、传奇帐号,灰鸽子开后门使系统完全受黑客控制,QQRobber病毒等;

3~多路网络传播方式。通过感染文件、局域网共享来传播;

4~强制禁用国内知名反病毒软件,降低性安全性,易感染其它病毒;

5~变种多。数日内,已经出现多个变种。



____________________________________________________

黑猫大人说了~~~

如果你电脑出现以下两种情况就说明你中招了~~~
第一~WINDOS文件夹下有LOGO1_.EXE
第二~运行魔兽或别的程序时会有LOGO1_.EXE OR rundl132.exe在进程管理器里~
第三~玩游戏时越来越慢~~~
第四~电脑里的非系统程序的图标全部变色~变成16位数~会很模糊
第五~这个病毒会下载多种木马到你计算机~会把你的共享打开然后传给别人~~QQ发信息时突然收到或自动发运~~《这是我的相册快来看看吧》~~~之类的。。。

最近的威金Worm.Viking蠕虫病毒太厉害了(前段时间大面积的PHP论坛都中了。。哎)

病毒可以无限感染计算机局域网内的任意主机任意盘符的可执行程序,所以要杀灭难度还是很大,病毒本身属以盗取网络游戏密码为主的病毒,通过无限繁殖。。达到称霸全国的目的- -。具体的可视后台程序为:LOGO1_.EXE RUNDLL32.EXE(经常是有2个)也有的是单RUNDLL32.EXE捆绑explorer.exe,所以有时候需要先结束explorer.exe才能删除RUNDLL32.EXE,具体你中的严重不严重。。中了多少。。先看任务管理器吧。。。。

此病毒一般杀毒软件却又杀不干净,自己手动杀又容易杀坏系统,下面偶给已经中毒,但又不想全格硬盘的朋友提供一个我杀毒的方案,可以从杀灭到防治于一体,对于目前的威金可以完全防御。

*还有很多有杀毒软件的人自认为没中毒,其实此病毒还有潜伏性!!!!

不说了~~给你们官网的专杀下载地址吧~~~

http://db.kingsoft.com/download/3/246.shtml

blackcat大人 2006-09-28 03:05
没人顶吗~~~~

爪一爪 2006-09-28 12:46
嗯嗯~~
下了 在扫描着哪~~

xiao555 2006-09-28 13:33
...........
不是我说你,金山、瑞星、江民这些杀毒软件也能用?赶快换成诺顿,卡巴,NOD32吧..............

blackcat大人 2006-09-28 22:58
这个只是专杀工具~~~我不用杀毒软件的~~如果说用~~我用McAfee VirusScan

麒麟宝宝 2006-11-03 04:06
好多种啊。。。我都不会用啊。。。我是电脑白痴。。。郁闷ing。。。


查看完整版本: [-- 给大家介绍个病毒~~~~最好都来杀下毒~ --] [-- top --]


Powered by PHPWind Code © 2003-08 PHPWind
Gzip enabled

You can contact us