“威金（Worm.Viking）”病毒特點-專殺及_desktop.ini刪除 
 
很麻煩的（de）威金（jīn）Worm.Viking病毒，今（jīn）天發（fā）現電腦中出現了_desktop.ini的文件,才知道（dào）中了名為威金（Worm.Viking）的病毒,而安裝的江民殺毒軟件竟然殺不了,沒（méi）辦法了,隻（zhī）好上網查找解（jiě）決方法,還真（zhēn）讓我給找到了（le）,問題解決（jué）了,方法（fǎ）不敢獨享,介紹給機器（qì）出（chū）了同（tóng）樣問題的人（rén）.

一、desktop.ini病毒（dú）特（tè）點（diǎn）:

處理時（shí）間：2006-06-01 威脅級別：★★ 
病毒類型（xíng）：蠕蟲 影響係統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 
病毒（dú）行為: 
該（gāi）病毒為Windows平台下集成可執行文件感染（rǎn）、網（wǎng）絡感染、下載網絡木（mù）馬或其它病毒的複（fù）合（hé）型病毒，病毒運行後（hòu）將自身偽裝成係統正常文件（jiàn），以迷惑用戶，通過修改注冊（cè）表項使（shǐ）病毒開機時可以自動運（yùn）行，同（tóng）時病毒通過線程（chéng）注入技術繞過防（fáng）火（huǒ）牆（qiáng）的監（jiān）視，連接到病毒（dú）作者（zhě）指定的網站（zhàn）下載特定（dìng）的木馬或（huò）其它病毒，同時病毒運行後枚（méi）舉（jǔ）內網的所有（yǒu）可用共享，並嚐（cháng）試通過（guò）弱口令方式連接感染目（mù）標計算（suàn）機。
運行過程（chéng）過感（gǎn）染用戶（hù）機器（qì）上的可執行文件，造成用戶機器（qì）運行速度（dù）變（biàn）慢，破（pò）壞（huài）用戶（hù）機器的可執行文件（jiàn），給（gěi）用（yòng）戶安全性構（gòu）成（chéng）危害。
病毒主要通過共享目錄、文件捆綁、運（yùn）行被感染（rǎn）病毒的程序、可帶病毒的（de）郵件（jiàn）附件等方式進行傳播。

1、病毒運（yùn）行後將自身複製到（dào）Windows文件夾下,文件名為:
　　%SystemRoot%\rundl132.exe

2、運（yùn）行被感染的文件（jiàn）後，病（bìng）毒將病毒體複製到為以下文（wén）件:
%SystemRoot%\logo_1.exe

3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll

4、病毒從Z盤（pán）開始（shǐ）向前（qián）搜索所有可用（yòng）分區中的exe文件，然後感染所有大小27kb-10mb的可執行文件（jiàn），感染完畢在被感（gǎn）染的文件（jiàn）夾中（zhōng）生成:
_desktop.ini (文件屬性:係統、隱藏（cáng）。)

5、病（bìng）毒（dú）會嚐試修（xiū）改（gǎi）%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通過添加如下注冊表項實現病毒開（kāi）機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒運（yùn）行時嚐試（shì）查找窗體名（míng）為（wéi）:"RavMonClass"的（de）程序（xù），查找到（dào）窗（chuāng）體後（hòu）發送消（xiāo）息關閉該程序（xù）。

8、枚舉以下（xià）殺毒軟件進程名，查（chá）找到後終止（zhǐ）其（qí）進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同時病毒嚐試利（lì）用以（yǐ）下命令（lìng）終止（zhǐ）相關殺病毒軟件：
net stop "Kingsoft AntiVirus Service"


10、發（fā）送ICMP探測數據"Hello,World"，判（pàn）斷網（wǎng）絡狀態，網（wǎng）絡可用時，
枚舉內（nèi）網（wǎng）所有（yǒu）共享主機，並嚐試用（yòng）弱口令連接\\IPC$、\admin$等共享（xiǎng）目錄，連接（jiē）成功後進（jìn）行網絡感染。

11、感染用戶機器上的exe文件（jiàn），但不感染以下文件夾中的（de）文（wén）件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚舉係統進程，嚐試將（jiāng）病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer 
Iexplore
找到符合條件的進程後（hòu）隨機注入以上兩個（gè）進程（chéng）中的（de）其中一個。

13、當外網可用時，被注入（rù）的dll文（wén）件嚐試連接以下網站下載並運（yùn）行相關程序:
http://www.17**.com/gua/zt.txt 保（bǎo）存（cún）為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt 保（bǎo）存為:c:\1.txt

http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保（bǎo）存為:%SystemRoot%\2Sy.exe
注：三（sān）個（gè）程（chéng）序都為木馬（mǎ）程序

14、病（bìng）毒會將下載後的（de）"1.txt"的內容（róng）添加到以下相關注冊表項：


[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++""ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////""ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

二（èr）、desktop.ini病毒刪除方法

該病毒會在（zài）每個文件（jiàn）夾中生（shēng）成（chéng）一（yī）個（gè）名（míng）為_desktop.ini的文（wén）件，一個（gè）個去刪除，顯（xiǎn）然太費勁，（我的機器的操作係統因安裝在（zài）NTFS格式下，所（suǒ）以係統盤下（xià）的文（wén）件夾中沒有（yǒu）這個文件，另外盤下的文（wén）件夾無一（yī）幸免），因此在（zài）這裏介紹給大家（jiā）一個批處（chù）理命令 del d:\_desktop.ini /f/s/q/a，該命令的作用是：
強製刪除d盤下所有目（mù）錄內（包括（kuò）d盤本（běn）身（shēn））的_desktop.ini文件並且不提示是（shì）否刪（shān）除 

/f 強製刪除隻讀文件 

/q 指（zhǐ）定靜音狀態（tài）。不提示（shì）您確認刪除。 

/s 從當前（qián）目錄及其所有子目（mù）錄中刪除指定文件（jiàn）。顯示（shì）正在被（bèi）刪除的文（wén）件名。 

/a的意思是按照屬性來刪除了 
這個命令（lìng）的作用是在殺掉viking病毒之（zhī）後清理係統內殘（cán）留的_desktop.ini文件用的

使用方法（fǎ）是開始--所有程序--附件--命令提示（shì）符，鍵入上（shàng）述（shù）命令（也可複製粘（zhān）貼），首先（xiān）刪（shān）除D盤中的_desktop.ini，然後依此（cǐ）刪除（chú）另外盤中（zhōng）的（de）_desktop.ini。

至此，該病（bìng）毒對機（jī）器造成的影響全部（bù）消除。