PCDVD數位科技討論區 - 中EXE檔無法執行(會錯誤)的病毒

http://blog.yesky.com/209/storm_L/1596709.shtml

最近出來的威金變種病毒(2006年11月)，大家小心

今天終於搞掉了威金新變種病毒，這種心理變態的製作者製作的可惡病毒，居然用舊的專殺工具和目前大多數殺毒軟件都除不掉，還破壞了我公司趨勢網絡版殺毒軟件的服務器，感染所有EXE文件，被感染後文件不能運行。試了好多工具，瑞星的、金山的都太舊，還有newkill和mj001的千橡感染EXE查殺工具最新2.0都不行，終於用江民的專殺(這是11月15日昇級的)清除掉了，感染文件清毒後可以正常運行，連趨勢網絡版也活了，差點要重裝它。終於可以鬆口氣了，現在可以等待趨勢公司作出反應了，畢竟專殺不能實時監控。
該病毒的資料如下：
Viking變種 rundl132.exe Logo1_.exe RichDll.dll

病毒名稱：Worm.Win32.Viking.bv（Kaspersky）
病毒別名：Worm.Viking.cz.57089（毒霸）
　　　　　 Worm.Viking.eu（瑞星）
病毒大小：57,089 字節
加殼方式：N/A

發現時間：2006.11
更新時間：2006.11
關聯病毒：
傳播方式：通過惡意網頁傳播、其它木馬下載

技術分析
==========

Viking的一個變種，產生的文件位置和「傳統」的有些不同。

運行後複製自身到系統目錄下：
%Windows%\uninstall\rundl132.exe
釋放dll注入Explorer.exe或iexplore.exe進程：
%Windows%\RichDll.dll

創建啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windows%\uninstall\rundl132.exe"

調用命令停止金山毒霸舊版本服務：

net stop "Kingsoft Antivirus Service"

遍歷目錄感染exe文件，將自身捆綁在被感染exe文件前端（不感染部分系統文件和程序文件），並在所到目錄下生成_desktop.ini文件，內容是感染日期，如2006/11/15。

設置註冊表信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

嘗試從guajfskajiw.43242.com下載其它病毒或惡意程序。

被感染文件運行後會在系統目錄生成文件：
%Windows%\Logo1_.exe

Logo1_.exe常駐內存，並釋放%Temp%\$$??.bat「還原」被感染文件，bat內容為：

:try1
Del "被感染文件.exe"
if exist "被感染文件.exe" goto try1
ren "被感染文件.exe.exe" "原文件.exe"
if exist "被感染文件.exe.exe" goto try2
"原文件.exe"
:try2
del "%Temp%\$$??.bat"
---------------------
我的情況是病毒還有在%Windows%\down或intel文件夾和programe files\microsoft\下生成病毒文件，有rundl132.exe、svchost32.exe。

我的解決方法是到江民網站下載威金專殺工具，http://www.jiangmin.com/download/VikingKiller.exe

運行後可以先檢查更新，再掃瞄，可以多掃幾次徹底清除病毒。原專殺程序是.exe文件，為了防止病毒感染，我建議改成.com結尾，運行是一樣的(真不明白江民會沒考慮這點)