病毒名称 “威金（Worm.Viking）”
病毒别名 Virus.Win32.Delf.62976 [Kaspersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec]   
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度：中
破坏程度：中

主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
4、阻止以下杀毒软件的运行,包括卡八斯基，金山公司的毒霸。瑞星等98%的杀毒软件运行。

5、访问部分反病毒安全网站时，浏览器就会重定向到66.197.186.149

详细技术信息：  
病毒运行后，在%Windir%生成  Logo1_.exe  同时会在windws根目录生成一个名为"virDll.dll"的文件。
该蠕虫会在系统注册表中生成如下键值：
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"

病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源：
ADMIN$
IPC$
症状
蠕虫会感染所有.exe的文件。但是，它不会感染路径中包含下列字符串的文件：
                  \Program Files
                  Common Files
                  ComPlus Applications
                  Documents and Settings
                  NetMeeting
                  Outlook Express
                  Recycled
                  system
                  System Volume Information
                  system32
                  windows
                  Windows Media Player
                  Windows NT
                  WindowsUpdate
                  winnt
蠕虫会从内存中删除下面列出的进程：
                  EGHOST.EXE
                  IPARMOR.EXE
                  KAVPFW.EXE
                  KWatchUI.EXE
                  MAILMON.EXE
                  Ravmon.exe
                  ZoneAlarm

★☆☆手动清除病毒方法☆☆★
（1）在进程中找到并结束Logo1_.exe、rundl132.exe进程
（2）找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件
（3）打开注册表，索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW，删除auto键值
（4）打开注册表，索引到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WIndows，删除load键值
（5）打开%system%\drivers\etc下hosts文件，删除“127.0.0.1 localhost”一行后所有内容   ↓
（6）下载”Worm.Viking Logo1专杀工具.rar 106.1KB专杀工具“，在安全模式下全盘杀毒。↓
（7）插入系统光盘，重做系统

【发表评论】【打印此文】【关闭窗口】【点击数： 】