Este es el legendario VIKING (gusano vikingo). Este virus es un virus complejo que integra infección de archivos ejecutables, infección de red, descarga de troyanos de red u otros virus en la plataforma Windows. Se disfrazará de un archivo normal en el sistema para confundir al usuario. Al modificar las entradas del registro, el virus puede ejecutarse automáticamente cuando se enciende la computadora. Al mismo tiempo, el virus utiliza tecnología de inyección de subprocesos para evitar el monitoreo. el firewall y conectarse al sitio web designado por el autor del virus para descargar troyanos específicos u otros virus. Al mismo tiempo, después de ejecutar el virus, enumera todos los recursos compartidos de red privados disponibles e intenta conectarse a la computadora de destino infectada a través de una red débil. contraseña.
El proceso en ejecución infecta los archivos ejecutables en la máquina del usuario, lo que hace que la máquina del usuario funcione más lento, destruye los archivos ejecutables en la máquina del usuario y representa un peligro para la seguridad del usuario.
Los virus se propagan principalmente a través de directorios compartidos, paquetes de archivos, programas en ejecución infectados y archivos adjuntos de correo electrónico que contienen virus.
1. Una vez que el virus se ejecuta, se copia a sí mismo en la carpeta de Windows. El nombre del archivo es:
%SystemRoot%\rundl132.exe
2. Ejecute Después de infectar el archivo, el virus copia el cuerpo del virus en el siguiente archivo:
%SystemRoot%\logo_1.exe
3. generado en la carpeta del virus:
p>
Virus Directory\vdll.dll
4. El virus busca archivos exe en todas las particiones disponibles comenzando desde el disco Z y luego. infecta todos los archivos ejecutables con un tamaño de 27kb-10mb. La infección se completa. Generada en la carpeta infectada:
_desktop.ini (Atributos del archivo: sistema, oculto.)
5. El virus intentará modificar el archivo %SysRoot%\system32\drivers\etc \hosts.
6. El virus puede ejecutarse automáticamente en el arranque agregando la siguiente clave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C : \\WINNT\\rundl132.exe"
7. Cuando el virus se está ejecutando, intenta encontrar un programa con el nombre del formulario: "RavMonClass". Después de encontrar el formulario, envía un mensaje a cerrar el programa.
8. Enumere los siguientes nombres de procesos de software antivirus y finalice el proceso después de encontrarlo:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9. el virus intenta terminar usando el siguiente comando Software antivirus relacionado:
net stop "Kingsoft AntiVirus Service"
10. Envíe datos de detección ICMP "Hello, World" para determinar el Estado de la red Cuando la red esté disponible,
Enumere todos los hosts compartidos en la intranet e intente utilizar contraseñas débiles para conectarse a directorios compartidos como \\IPC$ y \admin$. Si tiene éxito, se producirá una infección de la red.
11. Infectar archivos exe en la máquina del usuario, pero no archivos en las siguientes carpetas:
system
system32
windows <. /p>
Documentos y configuraciones
Información del volumen del sistema
Reciclado
winnt
Archivos de programa
Windows NT
WindowsUpdate
Reproductor de Windows Media
Outlook Express
Internet Explorer
Aplicaciones ComPlus
p>
NetMeeting
Archivos comunes
Messenger
Microsoft Office
Información de instalación de InstallShield
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12. Enumere los procesos del sistema e intente eliminar el virus dll (vdll . dll) inyecta selectivamente el proceso correspondiente al siguiente nombre de proceso:
Explorador
Iexplore
Después de encontrar el proceso que cumple con las condiciones, inyecta aleatoriamente el proceso desde Los dos procesos anteriores.
13. Cuando la red externa está disponible, el archivo dll inyectado intenta conectarse al siguiente sitio web para descargar y ejecutar programas relacionados:
/gua/zt.txt Guardar como: c:\1 .txt
/gua/wow.txt Guardar como: c:\1.txt
/gua/mx.txt Guardar como: c:\1.txt
/gua/zt.exe se guarda como: %SystemRoot%\0Sy.exe
/gua/wow.exe se guarda como: %SystemRoot%\1Sy.exe
/ gua/mx.exe se guarda como: %SystemRoot%\2Sy.exe
Nota: Los tres programas son programas troyanos
14. descargue el "1.txt" a las siguientes claves de registro relacionadas:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows]
"ver_down0"="[cargador de arranque]\\\\\\\\\\\\\\\\\+++++++ +++++ ++++++++++++"
"ver_down1"="[cargador de arranque]
timeout=30
[sistemas operativos]
multi(0)disco(0)rdisco(0)partición(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2" ="default=multi(0)disco(0)rdisk(0)partición(1)\\WINDOWS
[sistemas operativos]
multi(0) disco(0)rdisco (0)partición(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
------------- ----- ---------------Yo soy la línea divisoria---------------------------------- -
Entonces, si sabes que es VIKINGO, puedes buscar soluciones en Internet. Hasta donde yo sé, hay no menos de 10 tipos de soluciones y cientos de artículos.
Pero lo que quiero decir es: hace algún tiempo fui envenenado con esta droga y he probado casi todos los métodos que dijeron excepto los más problemáticos. Al final formateé la computadora enojado y todo terminó. Puede colocar los archivos importantes de su computadora en una unidad, como la unidad E, pero tenga en cuenta que estos archivos no deben ser archivos EXE (hombre, solo guarde algunas películas, fotos MP o documentos) y luego abra la barra de herramientas para mostrar Todos los archivos ocultos Elimine los archivos ocultos en cada carpeta de la unidad E. Luego formatee los otros discos y reinstale el sistema y todo estará bien. Recuerde desconectarse de Internet. Después de la instalación, lo primero que debe hacer es descargar Kaspersky versión 6.0, que puede prevenirlo pero no curarlo.
Nota: guarde las fotos, películas MP3, etc. en un disco. Se deben eliminar todas las carpetas, incluidas las subcarpetas, de este disco y se deben eliminar todas las cosas extrañas que contiene (mostrar el modo de archivos ocultos)
Formatee todos los demás discos. La red se desconecta al reinstalar el sistema.