下載並釋放多個木馬程序，包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe

5月30日，老驢給我出個難題，見面第一句話「我的機子中標了，好像只針對.exe文件或uninstall，卡巴查出是Worm.Win32.Viking.i」，通過google給他找到了病毒的介紹和解決辦法，最後索性讓他把病毒文件發過來，在vm下自己分析了一下。本來想著是個別問題，結果發現這兩天網絡關於該病毒的消息越來越多，那就把我看到的一些東西跟大家分享一下吧。
一、病毒消息：
威金蠕蟲肆虐互聯網 九千用戶十餘企業遭攻擊[圖]
惡性病毒現身：穿透還原卡 殺死殺毒軟件
二、病毒症狀：
看了一些關於此病毒的症狀，不完全統計如下：
1、佔用大量網速，使機器使用變得極慢。
2、會捆綁所有的EXE文件，只要一運用應用程序，在winnt下的logo1.exe圖標就會相應變成應用程序圖標。

3、有時還會時而不時地彈出一些程序框，有時候應用程序一起動就出錯，有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版，server版及XP系統都不感染。（嚴重表示懷疑！）
5、能繞過所有的還原軟件。
6、下載並釋放多個木馬程序，包括xiaran.dat、rundl132.exe、vDll.dll、svchqs.exe、svhost32.exe、rundll32.exe、dllz.dll、svchs0t.exe、C:\gamevir.txt、C:\1.txt 、C:\log.txt等等。
三、病毒分析：
根據病毒釋放出來的文件，感覺它應該是W32.Looked病毒的某個變種，在symantec的官方站點檢索一下，發現該病毒從2004年12月17日被發現，到最新變種被發現2006年5月29日，總計有7個變種，介紹如下：
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.b.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.c.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.e.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.f.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.h.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.looked.i.html
通過對這幾個病毒介紹的分析，我們發現該病毒除在個別版本中有所變動外，基本特徵大體沒有太多變化，而病毒作者必然是國人沒錯。
接著來分析一下Symantec定義的各變種病毒爆發後的操作：
病毒簡介：該病毒是一個會從遠端服務器下載文件並感染.exe文件的蠕蟲病毒，它會降低安全防護的效能並通過網絡共享傳播自己。
感染系統：Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP
病毒行為（有些行為可能只在某個變種體現）：
1、（部分變種）創建文件%Windir%\rundl132.exe (A copy of W32.Looked.I)，注意這裡的文件名是rundl132.exe，不是rundll32.exe，%Windir%默認為C:\Windows或者C:\Winnt；
2、創建木馬程序%CurrentFolder%\vDll.dll (A copy of Download.Trojan)，%CurrentFolder%表示病毒被初次執行時的目錄，我見到的基本都在%Windir%下；
3、（部分變種）從遠端服務器下載病毒程序到%Windir%\1.exe，並執行，有些變種下載的是zt.txt、zt.exe 、wow.txt 、wow.txt、mx.txt、mx.exe系列文件；
4、拷貝自身為%Windir%\Logo1_.exe；
5、在註冊表HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW下創建鍵值"auto" = "1"；
6、（部分變種）在註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows創建鍵值"load" = "%Windir%\rundl132.exe"；
7、（部分變種）停止服務Kingsoft AntiVirus Service；
8、插入vDll.dll到IEXPLORE.EXE或EXPLORER.EXE
9、從磁盤C到Y檢索.exe文件並感染找到的文件，不會感染下列目錄中的.exe文件：
·system
·system32
·windows
·Documents and Settings
·System Volume Information
·Recycled
·winnt
·Program Files
·Windows NT
·WindowsUpdate
·Windows Media Player
·Outlook Express
·Internet Explorer
·ComPlus Applications
·NetMeeting
·Common Files
·Messenger
·Microsoft Office
·InstallShield Installation Information
·MSN
·Microsoft Frontpage
·Movie Maker
·MSN Gamin Zone
10、發送包含「Hello,World」字符串的ICMP包到192.168.0.30、192.168.8.1；
11、使用administrator和空口令嘗試打開任何對ICMP包響應的計算機的\\ipc$和\\admin$目錄；
12、拷貝自身到成功打開的共享目錄；
13、檢索成功打開的共享目錄，尋找並感染.exe文件；
14、（部分變種）嘗試結束下列進程：
·EGHOST.EXE
·IPARMOR.EXE
·KAVPFW.EXE
·KWatchUI.EXE
·MAILMON.EXE
·Ravmon.exe
·ZoneAlarm
15、（部分變種）在hosts文件(默認位置：%system%\drivers\etc，%system%默認為C:\WINDOWS\system32\或C:\Winnt\system32)中添加內容，內容主要是將防病毒網站指向到本級或指定IP。
AcOol PS：
我分析的「Worm.Win32.Viking.i」病毒只包含了以上的7、8個步驟。
四、病毒查殺：
1、專殺工具：
「威金（Worm.Viking）」病毒專殺工具1.0
「維金」病毒專殺工具v2006.6.8.13
2、手動查殺：
首先建議下在IceSword1.8，在IceSword中進行操作。
（1）在進程中找到並結束Logo1_.exe、rundl132.exe進程，未找到則直接跳過；
（2）找到並刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件，其中vDll.dll可能在其他目錄中，%Windir%默認為C:\Windows或者C:\Winnt。
（3）打開註冊表，索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW，刪除auto鍵值；
（4）打開註冊表，索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows，刪除load鍵值；
（5）打開%system%\drivers\etc下hosts文件，刪除「127.0.0.1 localhost」一行後所有內容；
（6）升級病毒定義庫，在安全模式下對全盤進行掃瞄。
五、補充說明：
根據這兩天看到的消息，該病毒可能出現了新的變種，捆綁了QQ尾巴病毒，因為從老驢那裡拿到的病毒體沒有這個內容，限於個人水平也無法徹底分析明白，轉述了「C.I.S.R.T 論壇」對各新變種的分析及解決辦法，匯總為「ViKing病毒專題」，大家可以根據自己的情況採取相應的查殺方式。
ViKing病毒專題：
http://coolersky.com/articles/index.asp?classid=412
六、參考：
·http://soft.yesky.com/security/42/2431542.shtml
·http://forum.ikaka.com/topic.asp?board=28&artid=8037807
·http://safebbs.it168.com/redirect.php?tid=8032&goto=lastpost
·http://www.simkz.com/cisrt/forumdisplay.php?fid=12
·http://coolersky.com/articles/virus/analyze/2006/0608/264.html


http://coolersky.com/articles/virus/prevention/2006/0606/254.html