新西兰天维网社区

标题: QQ用户谨防Worm.Win32.Viking.j蠕虫病毒 [打印本页]

作者: Clark1129 时间: 2006-10-15 09:50:01 标题: QQ用户谨防Worm.Win32.Viking.j蠕虫病毒

内容：
　近日，一种使用Borland Delphi语言编写的蠕虫病毒Worm.Win32.Viking.j正在大肆传播，该蠕虫通过QQ发送如下信息：

“看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ !
www。search_2.shtml。cgi-client-entry.photo.39pic.com/qq%xxxxxxE5%86%8C2
[为了防止广大用户错点有害链接，特将链接中的“.”换为了“。”]

该病毒诱使用户点击，一旦用户点击该链接，则感染用户机器，并自动在被感染的机器上通过QQ转发该信息。
其只感染win2k pro版，server版和xp不被感染。病毒运行后生成文件%Windir%\Logo1_.exe

同时在受感染的机器上建立一个远程线程，从指定站点下载大量木马等病毒，运行后会窃取感染机器上的用户帐户等敏感信息，如传奇帐号密码。
病毒文件列表如下：
winnt.htm Exploit.VBS.Phel
MsInfo.xr Trojan-PSW.Win32.Delf.ic
logo.ico Worm.Win32.Viking.j
KB5327932.LOG Trojan-PSW.Win32.Lmir.avd
0Sy.exe Trojan-PSW.Win32.WOW.az
1.exe Trojan-PSW.Win32.WOW.az
2.exe Trojan-PSW.Win32.Delf.ic
1Sy.exe Trojan-PSW.Win32.Lineage.ph
2Sy.exe Trojan-PSW.Win32.Lineage.ls
3.exe Trojan-PSW.Win32.Lineage.ls
3Sy.exe Trojan-PSW.Win32.Lineage.zy
7Sy.exe Trojan.Win32.Delf.rf
bootconf.exe Worm.Win32.Viking.j
qq.exe Trojan.Win32.Delf.rf
rundl132.exe Worm.Win32.Viking.j
rundll32.exe Trojan-PSW.Win32.Lineage.ph
svchs0t.exe Trojan-PSW.Win32.Lineage.zy
WINXP.exe Trojan-PSW.Win32.Delf.ic
dllz.dll Trojan-PSW.Win32.Lineage.ph
vDll.dll Worm.Win32.Viking.j
ztdll.dll Trojan-PSW.Win32.Lineage.abo

logo.ico文件是一个PE文件运行后，会感染系统所有的PE文件，并修改文件图标。
使机器使用变得极慢，占用大量网速，在局域网中大肆传播。
病毒能穿透多种还原软件，而且病毒针对全盘，通过Ghost还原C盘的方法不能消除病毒。
该病毒的一大特点是能够阻止卡巴斯基、金山毒霸，瑞星杀毒软件等的运行。

目前尚未有针对该漏洞的修复补丁，因此安天CERT在此提醒广大用户在使用聊天工具时不要轻易点击不明链接。

安天CERT忠告广大用户：
1.及时下载并安装系统补丁。
2.不要轻易点击即时聊天工具和论坛中的不明链接，不要执行可信度不高的程序。
3.使用安天木马防线2005+，并及时升级，为您的系统提供透明的保护。

欢迎光临新西兰天维网社区 (http://bbs.skykiwi.com/)