Worm.Viking.is

知识库编号： RSV0707704

内容分类： 蠕虫病毒

适用产品分类：瑞星杀毒软件.单机版.标准版.2007

瑞星杀毒软件.单机版.升级版.2007

瑞星杀毒软件.单机版.下载版.2007

关键词： Worm.Viking.is

本文介绍Worm.Viking.is病毒资料及清除方法。

【病毒分析】：

1、病毒运行后首先会结束杀毒软件的服务项，导致杀毒软件的无法使用。

2、病毒会在Windows路径下建立一个名为uninstall的文件夹，把自己复制到该文件夹下；

3、病毒在Windows路径下释放动态库RichDll.dll，该动态库遍历进程，查找进程中是否存在iexplorer.exe进程，有则把动态库注入到该进程中，如果没有则找到进程中的explorer.exe进程把动态库注入到该进程中，实现下载功能。

4、病毒添加以下注册表项实现开机自启动：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun "load"=C:WINNTuninstall

undl132.exe

5、病毒实现感染功能：感染盘符从Z到C的所有“本地磁盘”，使用FindFirstFileA与FindNextFileA遍历文件；当发现后缀名为.exe的文件时，使用CreateFile打开要感染的文件，读入内存，建立名为“原文件全名.Exe”的文件；使用ReadFileA与WriteFileA把病毒本身写在“原文件全名.Exe”文件中；通过SetFilePointer把文件指针设在文件最后，把原正常文件加入到“原文件全名.Exe”文件的尾部；通过DelFile删除原正常文件；使用MoveFile修改文件名“原文件全名.Exe”为“原全名”。

【清除方法】：

1、断开网络，使用威金病毒专杀工具全盘查杀。

2、重启计算机，升级杀毒软件到最新版本全盘查杀。