病毒名称:Worm.Viking.tl(瑞星报毒名称) 病毒大小:95,232 字节 加壳方式:无 MD5:24785A0619735BFB63A5B7FFA27C7821 SHA1:90B3C687D7BBF473620F5889ED2D09AD31751256 病毒类型:感染 感染方式:在正常文件体前方追加病毒体
该病毒为原始病毒样本,它体内还包括一个dll文件,释放后名字为RichDll.dll。 病毒运行后,首先释放自己到系统目录: %Windir%\uninstall\rundl132.exe(注意字母拼写) %Windir%\RichDll.dll 修改注册表: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run load = %WINDOWS%\UNINSTALL\RUNDL132.EXE
随后创建感染线程:遍历硬盘文件夹,找到可执行文件进行感染。
工具清除:请用“威金病毒专杀”(建议)
手动清除:
1在进程列表中终止病毒进程; 2删除文件并清除注册表键值 %Windir%\uninstall\rundl132.exe(注意字母拼写) %Windir%\RichDll.dll 3用二进制编辑工具打开感染后的文件,(这里以hexshop为例,可到百度搜索下载) i: 将光标偏移到16进制17400处,安装快捷键Ctrl+Home,点击删除“delete”,保存,ok。 ii:(该方法仅适合对PE格式熟悉的人)搜索ASC码“MZ”,(第一个MZ是病毒主文件,第二次找到的是dll文件)第三个MZ才是原始文件。
|