¿Qué es Wiggin?
Manifestaciones de virus:
1. No se puede iniciar el monitoreo en tiempo real de algunos software antivirus (por ejemplo: el centro de monitoreo en tiempo real de Rising)
2. Algunos íconos se vuelven borrosos
3. En el proceso aparecen cosas inexplicables como Logo_1.exe y 0Sy.exe
4. aparece en la unidad C
5. Se ha modificado la ejecución automática del disco, de modo que al hacer doble clic en la letra del disco, aparece un mensaje de error
Luego usé Rising 2006 anti. -software antivirus a antivirus, pero no se pudo eliminar por completo. Este está infectado con el virus "Wiking".
Este virus es un virus complejo que integra infección de archivos ejecutables, infección de red y descarga de troyanos, programas de puerta trasera u otros virus a través de Internet en la plataforma Windows. Una vez que se ejecuta, se disfraza de normal. archivo en el sistema para confundir el sistema. Los usuarios pueden modificar las entradas del registro para que el virus pueda ejecutarse automáticamente cuando se enciende la computadora. Al mismo tiempo, el virus utiliza tecnología de inyección de subprocesos para evitar el monitoreo del firewall y conectarse al sitio web designado por. El autor del virus, descarga troyanos específicos u otros virus y enumera la intranet después de que se ejecuta el virus. Todos los recursos compartidos disponibles e intentan atacar otras máquinas a través de contraseñas débiles, infectando así la computadora de destino.
El proceso en ejecución infecta los archivos ejecutables en la máquina del usuario, lo que hace que la máquina del usuario funcione más lentamente, destruye los archivos ejecutables en la máquina del usuario y representa un peligro para la seguridad del usuario.
Los virus se propagan principalmente a través de directorios compartidos, paquetes de archivos, programas en ejecución infectados y archivos adjuntos de correo electrónico que contienen virus.
1. Después de que el virus se ejecuta, se copia en la carpeta de Windows. El nombre del archivo es:
Windir\rundl132.exe
2. infectado Después de completar el archivo, el virus copia el cuerpo del virus en el siguiente archivo:
Windir\logo_1.exe
3. carpeta del virus:
\vidll.dll en el directorio actual del virus
4. El virus busca archivos exe en todas las particiones disponibles comenzando desde el disco Z y luego infecta todos los ejecutables. archivos con un tamaño de 27kb-10mb Una vez completada la infección, se generan en la carpeta infectada:
_desktop.ini (atributos del archivo: sistema, oculto).
5. El virus intentará modificar el archivo SysRoot\system32\drivers\etc\hosts.
6. El virus puede ejecutarse automáticamente al arrancar agregando la siguiente clave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" load"="Windir\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="Windir\rundl132.exe"
7. Cuando el virus se está ejecutando, intenta encontrar un programa con el nombre del formulario: "RavMonClass". Después de encontrar el formulario, envía un mensaje para cerrar el programa.
8. Enumere los siguientes nombres de procesos de software antivirus y finalice el proceso después de encontrarlo:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
regsvc.exe
RavMon.exe
mcshield.exe
9. Al mismo tiempo, el virus intenta finalizar el software antivirus relacionado utilizando el siguiente comando:
net stop "Kingsoft AntiVirus Service"
Dispositivo inmune al virus Viking v0.1
Nombre: Dispositivo inmune al virus Viking
Versión: 0.1
Tamaño de archivo: 1.341 bytes
Idioma de escritura: MASM
Método de compresión: FSG v2.0
Plataforma operativa: Win2k/xp/2003
Valor MD5 del archivo: f7c3ae45e3d150aadcb614cc1c7f3d87
Informe de análisis de virus: Analysis.txt (Nota: cada versión variante puede ser diferente, este documento es solo para referencia)
Relacionado descripción del archivo:
AntiViking.exe................................. ... .Programa principal de Immunerator
Análisis.txt................................. .......Documento de análisis de virus
Readme.txt.................... . ....Documento de instrucciones
Nota:
El virus vikingo se ha vuelto más grave durante este período y apareció en un corto período de tiempo. También hay muchas versiones variantes, así que lo hice. esta pequeña herramienta para inmunizar contra el virus. Esta herramienta se utiliza principalmente para evitar la ejecución de programas infectados en la máquina local y luego infectar archivos locales. Actualmente, no admite la ejecución directa del virus original. Originalmente quería agregar un controlador para inmunizar el virus original, pero podría causar conflictos con otro software antivirus, así que desistí de los métodos para evitar que el virus original se propague en la red:
2. Desactivar el uso compartido de red (para usuarios domésticos comunes). p>3. Active el uso compartido de red, pero configúrelo como de solo lectura (para usuarios de cibercafés);
4. Active el uso compartido de red y configúrelo como escribible** *Disfrute, pero acceda. Se debe establecer una contraseña (para usuarios especiales).
Después de ejecutar AntiViking.exe, el programa generará los archivos Rundl132.exe y Logo1_.exe en el directorio de Windows. Al mismo tiempo, el programa se agregará a los siguientes elementos de inicio automático del registro: <. /p>
Clave principal: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
Valor clave: AntiViking