威金病毒在感染计算机后,会采取一系列行为以进行自我复制和传播。首先,它将自身复制到Windows文件夹下,文件名为%SystemRoot%\rundl132.exe。
运行被感染文件后,病毒会将病毒体复制到%SystemRoot%\logo_1.exe,并在病毒文件夹下生成vdll.dll。接着,病毒会搜索Z盘及其后的所有分区,寻找大小在27kb-10mb的exe可执行文件进行感染,感染后的文件夹中会新增_desktop.ini,属性为系统和隐藏。
病毒还试图修改%SysRoot%\system32\drivers\etc\hosts文件,并通过添加注册表项实现开机自动运行,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]下的"load"项。
运行时,病毒会寻找名为"RavMonClass"的程序并发送消息关闭它。同时,它会检查并终止特定的杀毒软件进程,如Ravmon.exe等。
为了探测网络状态,病毒发送ICMP数据包"Hello,World",并尝试连接内网共享主机,尤其是\\IPC$、\admin$等,以进行进一步的感染。它主要感染exe文件,但排除系统和重要文件夹。
病毒会枚举系统进程,将vdll.dll注入Explorer和Iexplore进程,或者随机选择一个。当外网可用时,它会下载并运行从特定网站获取的木马程序,如c:\1.txt和%SystemRoot%\0Sy.exe等。
值得注意的是,威金病毒变种包括Worm/Viking.aof、I-Worm/Warezov.fl、Worm.Xiazaizhe.a和Worm.Viking.ss,以及Trojan/DDos.Agent.r和setup.exe。预防此类病毒,用户应保持网络设备的访问控制,定期更新和查杀网络版防毒软件,同时利用像DCFW-1800E-UTM这样的统一威胁管理设备来加强安全防护,包括防病毒、防垃圾邮件等。
近期有一个名为“威金蠕虫变种DR(Worm.Viking.dr)”的病毒正在互联网上肆虐。该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力非常强。该病毒会破坏用户的一些软件,造成它们无法使用。“威金蠕虫”是一个能在WIN9X/NT/2000/XP系统上运行的蠕虫病毒,通过感染文件、局域网以及其他病毒下载传播。该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒,窃取用户QQ及网络游戏的账号和密码并发送给黑客。由于该病毒在编写上存在一些问题,可造成一些用户的软件被破坏,无法使用。
