近期有一个名为“威金蠕虫变种dr(worm.viking.dr)”的病毒正在互联网上肆虐。该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身，传播能力非常强。该病毒会破坏用户的一些软件，造成它们无法使用。

　　“威金蠕虫”是一个能在win9x／nt／2000／xp系统上运行的蠕虫病毒，通过感染文件、局域网以及其他病毒下载传播。该病毒还会自动在后台下载并运行“qq通行证”等其他病毒，窃取用户qq及网络游戏的账号和密码并发送给黑客。由于该病毒在编写上存在一些问题，可造成一些用户的软件被破坏，无法使用。瑞星杀毒软件2006版可以清除掉染毒文件中的病毒，并将这些文件恢复成正常状态。

一、病毒特征
　　1、病毒运行后将自身复制到windows文件夹下,文件名为:
　　%systemroot%\rundl132.exe

　　2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%systemroot%\logo_1.exe

　　3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

　　4、病毒从z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini(文件属性:系统、隐藏。)

　　5、病毒会尝试修改%sysroot%\system32\drivers\etc\hosts文件。

　　6、病毒通过添加如下注册表项实现病毒开机自动运行:
　[hkey_local_machine\software\microsoft\windows\currentversion\run]
　"load"="c:\\winnt\\rundl132.exe"
　[hkey_current_user\software\microsoft\windowsnt\currentversion\windows]
　"load"="c:\\winnt\\rundl132.exe"

　7、病毒运行时尝试查找窗体名为:"ravmonclass"的程序，查找到窗体后发送消息关闭该程序。

　8、枚举以下杀毒软件进程名，查找到后终止其进程:
ravmon.exe
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
ravmond.exe

　　9、同时病毒尝试利用以下命令终止相关杀病毒软件：
　　netstop"kingsoftantivirusservice"

　　　10、发送icmp探测数据"hello,world"，判断网络状态，网络可用时，枚举内网所有共享主机，并尝试用弱口令连接\\ipc＄、\admin＄等共享目录，连接成功后进行网络感染。

　　11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:
system
system32
windows
documentsandsettings
systemvolumeinformation
recycled
winnt
programfiles
windowsnt
windowsupdate
windowsmediaplayer
outlookexpress
internetexplorer
complusapplications
netmeeting
commonfiles
messenger
microsoftoffice
installshieldinstallationinformation
msn
microsoftfrontpage
moviemaker
msngamingzone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
explorer
iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt保存为:c:\1.txt
http://www.17**.com/gua/wow.txt保存为:c:\1.txt
http://www.17**.com/gua/mx.txt保存为:c:\1.txt
http://www.17**.com/gua/zt.exe保存为:%systemroot%\0sy.exe
http://www.17**.com/gua/wow.exe保存为:%systemroot%\1sy.exe
http://www.17**.com/gua/mx.exe保存为:%systemroot%\2sy.exe
注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：

[hkey_local_machine\software\soft\downloadwww]
"auto"="1"
[hkey_local_machine\software\microsoft\windows]
"ver_down0"="[bootloader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[bootloader]
timeout=30
[operatingsystems]
multi(0)disk(0)rdisk(0)partition(1)\\windows=\"microsoftwindowsxpprofessional\"////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\windows
[operatingsystems]
multi(0)disk(0)rdisk(0)partition(1)\\windows=\"microsoftwindowsxpprofessional\"/////"

既然是通过网络传播,就有传播的端口,可以考虑在网络设备上增加acl,进行访问控制.在边界防火墙上增加相关的端口屏蔽策略.
因其有主机感染的特点,更要加强网络版防毒软件终端系统的更新和及时查杀。
另外,防火墙除了屏蔽传播端口外,一般对病毒的基本无控制能力,而很多病毒(除了移动存储设备)均来自于网络中,边界的防毒,垃圾邮件,带毒邮件的威胁需要用户重视.可以采用例如dcfw-1800e-utm统一威胁管理设备.进行防毒防垃圾邮件的安全控制.

二、专杀工具

http://it.rising.com.cn/service/technology/ravvikiing
另外瑞星升级到最新版本也能清除该病毒，建议先手动删除然后在用瑞星扫描全盘。

特别推荐：
chenoeanti-virustools维金专杀(民间版魏滔序)
有用户反应该病毒变种可抑制瑞星和卡巴斯基等主流杀毒软件的启动，在此前提下可安装这个民间版，软件不到一兆，在系统迟缓的前提下可轻松运行，相信对中此病毒的朋友能够有所帮助。

软件简介
维金病毒的泛滥愈演愈烈,10月份发布了几个专杀工具帮助千百万计的用户脱离苦海,近日又接到了很多用户发来的维金病毒报告邮件,没想到这个病毒比原来更猖獗了.原来的工具源码在一次意外中丢失,这次又狠下心重新编写了,也加入了最新的维金病毒特征码.请有需要的广大的用户下载使用,更希望能把在使用时发现的问题反馈给我们,或到下面的"支持博客"中留言.
该工具可以有效解除被感染的exe中的病毒并还原exe文件，网上的大部分工具是直接删除exe文件。另外，本工具还具有viking免疫功能。
下载后直接运行即可查杀，如果查杀几次都有无法关闭的进程的，重新启动一下计算机继续查杀应该可以杀掉。直到病毒数为0时为止。如果配合plantasks程序可发挥更大威力。

专杀下载：http://www.chenoe.com/downloads.asp?file=kv8.com
三、删除_desktop.ini

该病毒会在每个文件夹中生成一个名为_desktop.ini的文件，一个个去删除，显然太费劲，（我的机器的操作系统因安装在ntfs格式下，所以系统盘下的文件夹中没有这个文件，另外盘下的文件夹无一幸免），因此在这里介绍给大家一个批处理命令deld:\_desktop.ini/f/s/q/a，该命令的作用是：强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除/f强制删除只读文件
/q指定静音状态。不提示您确认删除。/s从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。/a的意思是按照属性来删除了这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的使用方法是开始--所有程序--附件--命令提示符，键入上述命令（也可复制粘贴），首先删除d盘中的_desktop.ini，然后依此删除另外盘中的_desktop.ini。至此，该病毒对机器造成的影响全部消除。觉得有用的朋友们拿去试试吧