近期有一个名为“威金蠕虫变种DR(Worm.Viking.dr)”的病毒正在互联网上肆虐。该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身，传播能力非常强。该病毒会破坏用户的一些软件，造成它们无法使用。“威金蠕虫”是一个能在WIN9X/NT/2000/XP系统上运行的蠕虫病毒，通过感染文件、局域网以及其他病毒下载传播。该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒，窃取用户QQ及网络游戏的账号和密码并发送给黑客。由于该病毒在编写上存在一些问题，可造成一些用户的软件被破坏，无法使用。

特征

1、 病毒运行后将自身复制到Windows文件夹下， 文件名为：

%SystemRoot%// rundl132.exe

2、运行被感染的文件后， 病毒将 病毒体复制到为以下文件：

%SystemRoot%//logo_1.exe

3、同时 病毒会在病毒文件夹下生成：

病毒目录//vdll.dll

4、 病毒从Z盘开始向前搜索所有可用分区中的 exe文件，然后感染所有大小27kb-10mb的 可执行文件，感染完毕在被感染的文件夹中生成：

_desktop.ini（文件属性：系统、隐藏。）

5、 病毒会尝试修改%SysRoot%//system32//drivers//etc//hosts文件。

6、 病毒通过添加如下 注册表项实现病毒开机自动运行：

[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Run]

"load"="C:////WINNT////rundl132.exe"

[HKEY_CURRENT_USER//Software//Microsoft//Windows NT//CurrentVersion//Windows]

"load"="C:////WINNT////rundl132.exe"

7、 病毒运行时尝试查找窗体名为："RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒 软件进程名，查找到后终止其进程：

Ravmon.exe

Eghost.exe

Mailmon.exe

KAVPFW.EXE

IPARMOR.EXE

Ravmond.exe

9、同时 病毒尝试利用以下命令终止相关杀病毒 软件：

net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接////IPC$、//admin$等共享目录，连接成功后进行网络感染。

11、感染用户机器上的 exe文件，但不感染以下文件夹中的文件：

system

system32

windows

Documents and settings

system Volume Information

Recycled

winnt

Program Files

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

Microsoft Office

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

12、枚举系统进程，尝试将 病毒dll(vdll.dll）选择性注入以下进程名对应的进程：

Explorer

Iexplore

找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序：

http://www.17**.com/gua/zt.txt 保存为：c://1.txt

http://www.17**.com/gua/wow.txt 保存为：c://1.txt

http://www.17**.com/gua/mx.txt 保存为：c://1.txt

http://www.17**.com/gua/zt.exe 保存为：%SystemRoot%//0Sy.exe

http://www.17**.com/gua/ wow.exe保存为：%SystemRoot%//1Sy.exe

http://www.17**.com/gua/mx.exe 保存为：%SystemRoot%//2Sy.exe

注：三个程序都为 木马程序

14、 病毒会将下载后的"1.txt"的内容添加到以下相关 注册表项：

[HKEY_LOCAL_MACHINE//SOFTWARE//Soft//DownloadWWW]

"auto"="1"

[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows]

"ver_down0"="[boot loader]////////////////////////////////+++++++++++++++++++++++"

"ver_down1"="[boot loader]

timeout=30

[operating systems]

multi(0)disk(0)rdisk(0)partition⑴////WINDOWS=//"Microsoft Windows XP Professional//" ////"

"ver_down2"="default=multi(0)disk(0)rdisk(0)partition⑴////WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition⑴////WINDOWS=//"Microsoft Windows XP Professional//" /////"

15、威金 病毒变种类型

Worm/Viking.aof// 病毒类型： 蠕虫

I-Worm/Warezov.fl// 病毒类型： 蠕虫

Worm.Xiazaizhe.a // 病毒类型： 蠕虫

Worm.Viking.ss //病毒类型： 蠕虫

Trojan/DDos.Agent.r// 病毒类型： 木马

setup.exe 病毒(Worm.Viking)

网上冲浪，就比较容易中logo1_exe rundl132.exe（仔细在 任务管理器中可以找到.）

既然是通过网络传播，就有传播的端口,可以考虑在网络设备上增加ACL，进行访问控制.在边界 防火墙上增加相关的端口屏蔽策略.

因其有主机感染的特点，更要加强网络版防毒 软件 终端系统的更新和及时查杀。

另外， 防火墙除了屏蔽传播端口外，一般对 病毒的基本无控制能力，而很多病毒（除了移动存储设备）均来自于网络中，边界的防毒，垃圾 邮件，带毒邮件的威胁需要用户重视.可以采用例如DCFW-1800E-UTM统一威胁管理设备.进行防毒 防垃圾邮件的安全控制.

解决方案

另外 瑞星升级到最新版本也能清除该 病毒，建议先手动删除然后在用瑞星扫描全盘。

简介

维金 病毒的泛滥愈演愈烈，10月份发布了几个 专杀工具帮助千百万计的用户脱离苦海，近日又接到了很多用户发来的维金 病毒报告 邮件，没想到这个 病毒比原来更猖獗了.原来的工具源码在一次意外中丢失，这次又狠下心重新编写了，也加入了最新的维金病毒特征码.请有需要的广大的用户下载使用，更希望能把在使用时发现的问题反馈给我们，或到下面的"支持博客"中留言.

该工具可以有效解除被感染的exe中的病毒并还原 exe文件，网上的大部分工具是直接删除exe文件。另外，本工具还具有Viking免疫功能。

下载后直接运行即可查杀，如果查杀几次都有无法关闭的进程的，重新启动一下 计算机继续查杀应该可以杀掉。直到 病毒数为0时为止。如果配合PlanTasks程序可发挥更大威力。

特别推荐

CHENOE Anti-Virus Tools 维金专杀 （民间版 魏滔序）

有用户反应该 病毒变种可抑制 瑞星和 卡巴斯基等主流 杀毒软件的启动，在此前提下可安装这个民间版，软件不到一兆，在系统迟缓的前提下可轻松运行，相信对中此病毒的朋友能够有所帮助。

_desktop.ini

该 病毒会在每个文件夹中生成一个名为 _desktop.ini的文件，一个个去删除，显然太费劲，（我的机器的 操作系统因安装在NTFS格式下，所以 系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个 批处理命令 del d://_desktop.ini /f/s/q/a，该命令的作用是：强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除/f 强制删除 只读文件

/q 指定静音状态。不提示您确认删除。/s 从 当前目录及其所有子目录中删除指定文件。显示正在被删除的 文件名。/a的意思是按照属性来删除了这个命令的作用是在杀掉viking 病毒之后清理系统内残留的 _desktop.ini文件用的使用方法是开始–所有程序–附件– 命令提示符，键入上述命令（也可复制粘贴），首先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。至此，该 病毒对机器造成的影响全部消除。觉得有用的朋友们拿去试试吧

手动清除

方法A

一、重启，并进 安全模式。

二、杀毒

1、显示 隐藏文件：

打开“ 我的电脑”——工具—— 文件夹选项——查看

a、把“隐藏受保护的 操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；

b、勾中“显示所有文件和文件夹”

2、在系统安装文件夹内<；一般是C://WINDOWS和C://WINDOWS//system32>/用搜索找到你所中病毒<；比如找logo_1.exe rundl132.exe> 完全删除之 然后都建立名为"logo1_.exe"、"rundl132.exe"的空文件夹/并把属性设为“只读”，这样病毒也就无法运行了。

3、在所有的硬盘中删除 _desktop.ini。

4、清空IE浏览产生的垃圾和记录文件。

<3/4其实可以不用做。不过为了更加完善 清理 垃圾文件也是不错的。>

——————–手工清理办法结束——————–

方法B

⒈同时按下CTRL,ALT,DEL三键打开 任务管理器，结束病毒<；比如logo1_.exe>；进程.

2同样需要删除 操作系统盘（一般是C盘）winnt目录下的logo1_. exe文件.

⒊运行 gpedit.msc打开组策略，依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序，点启用 然后 点显示 添加 病毒的源文件< 比如logo1_exe>；。

⒋把默认共享关闭，给ADMINISTRATOR 组所有成员设置 密码。防止 病毒重新感染。<；呵呵。说到这里。绅博的朋友们 你们是不是个人电脑都有密码呢 不要以为不设密码就表示你大方。其实这样也给 病毒很多机会了。所以电脑还是应该要设置个简单密码的。这里不就有作用拉~>.

——————–手工清理办法结束——————–

<；说明：以上两方法任意选一都可行。原理：前面是安全模式下 病毒没运行所以直接删。再禁。后面是中毒情况下关闭进程。然后强删，再禁。最终效果是一样的。>

五、推荐使用威金 病毒全盘 修复工具

功能描述

专门针对感染 可执行文件（.exe）的威金 病毒全盘 修复工具，可以对已被vikin感染的文件进行修复！点这里下载威金全盘修复工具！

使用说明

将ArFix.rar 下载到本地 解压缩（请不要在压缩包中运行，不然特征库可能无法保存）

运行ArFix.exe

添加样本-〉选择一个 病毒文件或者一个被病毒感染的文件（如某些图标有变化的文件，有时需要添加病毒母体才能杀干净）！

显示 病毒可能是个正常文件时，说明这不是个被感染的程序，可能是病毒母体，这种无法修复，只能删除！（文件选择错误，会删除掉正常的程序）

显示为被感染的可执行程序时，说明这个被感染了，可以修复！

添加到特征库后，会看到支持的 变种数量增加了！

进行全盘查杀！

您可以通过登陆 windows清理助手网站了解更多关于 软件工具使用和系统安全知识！

最后 请大家注意 网上有个威金 补丁千万不要下 是 后门 软件我机器就中招了 13次 系统重装的代价 都是因为这个补丁 最后坏了一块120G硬盘（擦写次数过多） 后来一个懂行的朋友帮我查出来的 每次一安装这个补丁就会在8小时内发作威金 隐蔽性很强 害人啊 很多重要工作数据丢失了 损失无法估量 （希望追求刑事责任）