原文地址:http://www.dswlab.com/vir/v20070526.html

  超级巡警下载地址:http://www.dswlab.com/download.html

  Viking病毒一直困扰着广大用户,自06年5月被截获以来,受Viking感染的计算机一直居高不下,该病毒集文件型病毒、蠕虫病毒、病毒下载器 于一身,传播能力强。该病毒会感染用户的exe文件,每次运行exe文件都会运行病毒文件,占用大量系统资源。目前,根据超级巡警团队统计,该病毒已出现 460个变种之多。在近一年的时间内,该病毒为什么能杀之不绝?怎样检测是否中毒?发现病毒应该如何去做?本文将帮助你对该病毒进行有效的预防与查杀。

**  一、病毒相关分析:**

  病毒标签:

    病毒名称:Worm.Win32.Viking

    病毒别名:威金,维金

    病毒类型:蠕虫

    危害级别:5

    感染平台:Windows 平台

  病毒分析:

    1、运行后的文件行为:病毒文件或被感染文件运行后,释放如下文件:

    %ProgramFiles%\svhost32.exe  //不同的变种生成的文件会有所不同,但大多数变种会释放以上文件。

    %windir%\logo1_.exe

    %windir%\rundl132.exe

    %windir%\dll.dll

    病毒运行后会遍历各个目录,在各个目录下生成_desktop.ini文件并写入感染病毒的日期;找到exe文件并写入病毒体。被感染文件的图标会发生变化,会不如原来清晰。

   2、注册表行为:添加注册表启动项键值确保重启动后被自动加载:

    键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Windows

    键名:rundl132.exe

    键值:“load”="%Windows%\rundl132.exe" //注意不是rundll32.exe

   3、其他行为:

    从相应网站下载木马运行。多为盗取QQ和网游用户名和密码的木马。

    关闭大多数杀毒软件。

    尝试访问局域网内\ipc$、\admin$共享感染其它计算机上的exe文件。

**  二、维金为什么难以彻底清除**

  因为病毒会感染exe文件,如果仅仅删除了内存中的病毒文件,不对已感染的文件进行修复的话,当用户运行已感染文件的时候,病毒就会立即发作,重新感 染exe文件。那么保证系统内没有被感染的文件,就能高枕无忧了吗?当然不能了。因为病毒会访问局域网上的共享目录和有弱口令的机器,从而传播病毒。所以 你有共享目录或存在弱口令的话,而你所在的局域网又有被感染的机器,viking就又回来了。该病毒还会停止大多数的杀毒软件,使用户得不到危险提示,从 而延长了病毒存活和传播的时间。

**  三、怎样辨别是否已感染了维金病毒**

  如果你的图标有一部分变的模糊了,你可能已经中了viking了。这时,杀毒软件莫名其妙的不工作了,很多文件夹下都出现了_desktop.ini 文件,进程中出现了Logo_1.exe,rundl132.exe。这一切表明你已经中了viking或它的变种了,你的机器的反应速度会越来越慢。如果你在局域网中的话,你周围的机器也有可能会出现与你相似的情况。这时,杀毒是你唯一的出路。

**  四、如何恢复已被感染的文件**

  如果你是个人用户,并没有过修复被病毒感染的文件,那么建议你不要进行手工修复,只要下载超级巡警或超级巡警提供的专杀,轻松几下点击,你的系统就会完好如初了。

  对于高级用户,你可以手工修复受损文件,然后用超级巡警对系统进行全面扫描,确保彻底清理。

**  五、对于预防病毒的建议**

  打开杀毒软件的实时监控还是必要的。不要随意共享可写的本机目录,共享时要加上密码。要确保机器上不存在含有弱口令的帐号。要及时升级系统及杀毒软件。新拷贝的文件,尤其是exe文件,要进行查毒。

超级巡警:彻底查杀各种木马,全面保护系统安全。

更多免费工具下载:http://www.dswlab.com

专业的桌面与内容安全产品:http://www.unnoo.com