威金病毒特点分析及查杀技巧

　　12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:

　　Explorer

　　Iexplore

　　找到符合条件的进程后随机注入以上两个进程中的其中一个。

　　13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:

　　http://www.17**.com/gua/zt.txt 保存为:c:.txt

　　http://www.17**.com/gua/wow.txt 保存为:c:.txt

　　http://www.17**.com/gua/mx.txt 保存为:c:.txt

　　http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe

　　http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%Sy.exe

　　http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%Sy.exe

　　注：三个程序都为木马程序

　　14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：

　　[HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW]

　　"auto"="1"

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows]

　　"ver_down0"="[boot loader]\\\\+++++++++++++++++++++++"

　　"ver_down1"="[boot loader]

　　timeout=30

　　[operating systems]

　　multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional" ////"

　　"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS

　　[operating systems]

　　multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional" /////"

　　二、专杀工具

　　http://it.rising.com.cn/service/technology/RavVikiing.htm

　　三、删除_desktop.ini

　　该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费劲，(我的机器的操作系统因安装在NTFS格式下，所以系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免)，因此在这里介绍给大家一个批处理命令 del d:_desktop.ini /f/s/q/a，该命令的作用是：

　　强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除

　　/f 强制删除只读文件

　　/q 指定静音状态。不提示您确认删除。

　　/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

　　/a的意思是按照属性来删除了

　　这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的

　　使用方法是开始--所有程序--附件--命令提示符，键入上述命令(也可复制粘贴)，首先删除D盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。

　　至此，该病毒对机器造成的影响全部消除。

　　觉得有用的朋友们拿去试试吧

　　以下是我自己处理的方法：

　　(1)先下载好瑞星威金病毒专杀工具;

　　http://it.rising.com.cn/service/technology/RavVikiing.htm

　　(2)断开网络;

　　(3)处理C盘：能系统还原的就系统还原，这样节省时间，不行的就重装系统;

　　(4)再在安全模式下用刚才下的专杀工具清除掉C盘以外的其它盘的病毒;

　　(5)用全盘搜索功能(记得在高级选项里把搜索隐藏文件的选项勾上)，搜索名为“_desktop.ini”的文件，搜索好后，凡是符合要求的全部删除;

　　(6)清除完后重启机器即可。

第1页:威金病毒特点分析及查杀技巧(1)   第2页:威金病毒特点分析及查杀技巧(2)