中viking的朋友不用想了,单机的干脆点,把重要的文档,数据copy出来,格盘重装系统得了,网管兄弟们就比较郁闷了...杀了半天毒,一不小心又复发,那厮的变种实在是¥*#·#%!...
惹不起,咱换个法子过过招,分析了一下,俺这边中的这个viking运作方式大致是酱紫的:
1、运行受感染程序时,自动释放病毒体logo1_.exe、rundl132.exe、dll.dll、1.exe到%system%目录中
2、自动以system权限加载logo1_.exe、rundl132.exe、1.exe驻留内存,其中1.exe挂接到mstask.exe进程下
3、dll.dll是一个钩子模块,挂接到explorer.exe和IEXPLORE.EXE进程上
4、查找word.exe、excel、foxmail、winrar、acdsee这些软件的主程序,以及setup.exe、install.exe为文件名的可执行文件,将病毒体注入这些文件
5、自动结束大多数杀软的后台驻留程序
6、在注册表中添加load项
网上介绍了一种利用0字节文件来抵挡viking侵袭的方法,如下:
1、用copy con命令做两个0字节文件,文件名分别为logo1_.exe和rundl132.exe
2、用ProcessExplorer之类的进程管理软件杀掉病毒进程,删除病毒体(其中dll.dll必须先结束掉explorer.exe和IEXPLORE.EXE两个进程才能删的了)
3、将0字节文件copy到%system%目录中,加个只读属性
4、写段文本,内容为:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load"=-
将其保存为1.reg(注意,不是1.reg.txt哦)
再写段文本,内容为:
Windows Registry Editor Version 5.00
