gusano.vikingo.cm.
¡Wiking! ¡El sufijo de CM entre los 10 principales virus del mundo es su nombre de variante! ¡Es posible que el software antivirus general no pueda eliminarlo por completo! Si estás usando Rising, ¡puedes usar virus! aislamiento, aíslelo!!! O utilice la herramienta para eliminar virus Worm.Viking: /Soft/diannao/fangdushadu/200704/546.html
El virus "Worm.Viking" se descubrió por primera vez en 2005. para mostrar su poder en la segunda mitad de 2006. El virus tiene las características duales de los caballos de Troya y los gusanos, y puede propagarse a través de la red. Muchas redes LAN de pequeñas y medianas empresas fueron atacadas y paralizadas por el virus. El virus fue reportado 36.728.393 veces por los usuarios e infectó a 446.450 personas. En términos de propagación y capacidad destructiva, "Wiking" supera con creces a otros virus en todos los ordenadores y se convirtió en 2006 en el verdadero "Rey de los venenos". El virus "Paloma Gris", que fue nombrado rey de los venenos en el primer semestre de 2006, fue eclipsado por el virus "Wiking" en el segundo semestre del año, ocupando el segundo lugar.
Recientemente, un banco en Noruega fue atacado por un virus. El nombre del archivo del virus es Logo_1.exe, que es muy similar al virus "Panda Burning Incense" que ha proliferado recientemente en China. Expertos en antivirus de Jiangmin, del extranjero A juzgar por el informe, el virus mencionado en el informe debería ser una de las variantes del gusano "Wiking", pero aún no está claro qué variante del gusano Wiking infectó al banco noruego.
Algunas personas sospechan que el virus "Panda Burning Incense" que atacó el Norges Bank en realidad es el responsable del "Rey Veneno" y el "Weijin" en 2006. Según los expertos antivirus de Jiangmin, el virus "Panda Burning Incense" que está arrasando en Internet es en realidad una variante del "Rey Veneno" "Weijing" de 2006. Además de tener el patrón obvio de "Panda Burning Incense". , es similar a "Weijin" "No hay ninguna diferencia esencial
Cuando usas computadoras recientemente, puedes tener los siguientes problemas:
1. El monitoreo en tiempo real de algunos No se puede iniciar el software antivirus (por ejemplo: el Centro de monitoreo de monitoreo en tiempo real de Rising)
2. Algunos íconos se vuelven borrosos
3. Cosas inexplicables como Logo_1.exe, 0Sy. .exe, etc. aparecen en el proceso
4. El archivo oculto _desktop.ini (archivo oculto) aparece en la unidad C
5. Se ha modificado la ejecución automática del disco. , por lo que aparece un mensaje de error al hacer doble clic en la letra del disco
El autor encontró este problema durante el uso. Cuando esto sucede, inmediatamente uso el software antivirus Rising 2006 para eliminar el virus, pero no se puede eliminado completamente. Luego de verificar la información relevante, se confirmó que estaba infectado con el virus "Wiking".
Los siguientes son archivos relacionados de Weijin:
Este virus es un virus compuesto que integra infección de archivos ejecutables, infección de red, descarga de troyanos de red u otros virus en la plataforma Windows. se ejecuta Luego se disfraza de un archivo normal en el sistema para confundir al usuario. Al modificar las entradas del registro, el virus puede ejecutarse automáticamente cuando se enciende la computadora. Al mismo tiempo, el virus utiliza tecnología de inyección de subprocesos para evitar la supervisión. del firewall y conectarse al sitio web designado por el autor del virus para descargar un troyano específico u otros virus; al mismo tiempo, después de que se ejecuta el virus, enumera todos los recursos compartidos de red privados disponibles e intenta conectarse a la computadora de destino infectada a través de un contraseña débil.
El proceso en ejecución infecta los archivos ejecutables en la máquina del usuario, lo que hace que la máquina del usuario funcione más lento, destruye los archivos ejecutables en la máquina del usuario y representa un peligro para la seguridad del usuario.
Los virus se propagan principalmente a través de directorios compartidos, paquetes de archivos, programas en ejecución infectados y archivos adjuntos de correo electrónico que contienen virus.
1. Una vez que el virus se ejecuta, se copia a sí mismo en la carpeta de Windows. El nombre del archivo es:
%SystemRoot%rundl132.exe
2. el virus se infecta después de ejecutarlo. Después del archivo, el virus copia el cuerpo del virus en el siguiente archivo:
%SystemRoot%logo_1.exe3. Al mismo tiempo, el virus se generará en la carpeta de virus:<. /p>
Directorio del virus vdll.dll
4. El virus busca archivos exe en todas las particiones disponibles comenzando desde el disco Z y luego infecta todos los archivos ejecutables con un tamaño de 27kb-10mb. Una vez completada la infección, se genera en la carpeta infectada:
p>_desktop.ini (atributos del archivo: sistema, oculto).
5. el archivo %SysRoot%system32driversetchosts.
6. El virus puede ejecutarse automáticamente en el arranque agregando la siguiente clave de registro:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"load"="C:WINNTrundl132.exe "
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load"="C:WINNTrundl132.exe"
7. Cuando el virus se está ejecutando, intenta encontrar el Nombre de la ventana: programa "RavMonClass", después de encontrar el formulario, envía un mensaje para cerrar el programa.
8. Enumere los siguientes nombres de procesos de software antivirus y finalice el proceso después de encontrarlo:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9. el virus intenta terminar usando el siguiente comando Software antivirus relacionado:
net stop "Kingsoft AntiVirus Service"
10. Enviar datos de detección ICMP "Hola, mundo" para determinar el estado de la red cuando la red esté disponible,
Enumere todos los hosts compartidos en la intranet e intente utilizar contraseñas débiles para conectarse a directorios compartidos como IPC$ y admin$. Una vez que la conexión sea exitosa, la red. se producirá una infección.
11. Infectar archivos exe en la máquina del usuario, pero no archivos en las siguientes carpetas:
system
system32
windows
Documentos y configuraciones
Información del volumen del sistema
Reciclado
winnt
Archivos de programa
Windows NT
WindowsUpdate
Reproductor de Windows Media
Outlook Express
Internet Explorer
Aplicaciones ComPlus
NetMeeting
Archivos comunes
Messenger
Microsoft Office
Información de instalación de InstallShield
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12. Enumere los procesos del sistema e intente eliminar el virus dll (vdll . dll) inyecta selectivamente procesos correspondientes a los siguientes nombres de procesos:
Explorador
Iexplore
Después de encontrar un proceso que cumple las condiciones, inyecta aleatoriamente los procesos en Los dos procesos anteriores.
13. Cuando la red externa está disponible, el archivo dll inyectado intenta conectarse al siguiente sitio web para descargar y ejecutar programas relacionados:
/gua/zt.txt Guardar como: c:1.txt
/gua/wow.txt Guardar como: c:1.txt
/gua/mx.txt Guardar como: c:1.txt
/gua/zt.exe
Guardar como: %SystemRoot%0Sy.exe
/gua/wow.exe Guardar como: %SystemRoot%1Sy.exe
/gua/mx.exe se guarda como: %SystemRoot%2Sy.exe
Nota: Los tres programas son programas troyanos
El virus se descargará. el "1. txt" a las siguientes claves de registro relacionadas:
[HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows]
"ver_down0"="[cargador de arranque]++++++++++++++++++++++++"
"ver_down1"=" [cargador de arranque]
tiempo de espera=30
[sistemas operativos]
multi(0)disco(0)rdisco(0)partición(1)WINDOWS= "Microsoft Windows XP Professional" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partición(1)WINDOWS
[ sistemas operativos ]
multi(0)disco(0)rdisk(0)partición(1)WINDOWS="Microsoft Windows XP Professional" /////"