新一代操作系统vista专区

你想测试你的Widnows系统的安全性吗？ 如果你选对了工具，其实这是一件非常有趣的工作。如果你正为挑选合适的工具而苦恼，那就让本文给你一些帮助吧。

　　关于安全测试工具，我发现大体上你都能购买到。然而，还有一些是免费的工具，没有这些工具我会举步维艰，所以我将两种类型的工具一同与你分享。

　　基于Widnows平台的电脑，有7类常见的安全测试工具，它们是：

　　1. 端口扫描 (Port scanners)
　　2. 网络/操作系统弱点扫描 (Network/OS vulnerability scanners
　　3. 应用程序/数据库弱点扫描 (Application/database vulnerability scanners)
　　4. 密码破解 (Password crackers)
　　5. 文件查找工具 (File searching tools)
　　6. 网络分析 (Network analyzers)
　　7. 漏洞检查工具

工具名称	相关站点	擅长方面
免费
SuperScan version 3	www.foundstone.com/resources/proddesc/superscan3.htm	快速并且易用的端口扫描器，可以在运行的系统中寻找开放的端口和正在运行的服务，抓取banner信息包括软件的版本。
SoftPerfect Network Scanner	www.softperfect.com/products/networkscanner	映射MAC地址到IP地址，可以帮你定位随机的有线和无线的系统
NetBIOS Auditing Tool (NAT)	www.cotse.com/tools/netbios.htm	灵巧的Windows网络共享密码的破解工具
Winfingerprint	http://winfingerprint.sourceforge.net	Windows 信息列举工具，它可以搜索到补丁的等级信息，NetBIOS信息，用户信息等
Metasploit	www.metasploit.org	一个强大的查找基于Windows平台弱点的工具
Cain & Abel	www.oxid.it	一个很不错的混合密码破解工具
商用
QualysGuard	www.qualys.com	强大且易用且全面的网络/操作系统弱点扫描工具，适用于上千种新老漏洞。
GFI LANguard Network Security Scanner	www.gfi.com/lannetscan	一套完美的定位于Windows系统，功能强大且价格低廉的的网络/操作系统弱点扫描工具
N-Stealth	www.nstalker.com	一款物美价廉的针对运行IIS的系统扫描工具
WebInspect	www.spidynamics.com/products/webinspect/index.html	彻底的挖掘基于IIS，Apach等系统的Web应用程序弱点
WinHex	www.winhex.com/winhex/index-m.html	查找运行程序遗留于内存中的敏感信息 -- 完全搜索类似于“密码”，“SSN”，等等之类的文本信息。以发现那些未清除干净的敏感信息
AppDetective for MS SQL Server	www.appsecinc.com/products/appdetective/mssql	全面的SQL Server 数据库安全扫描工具
Proactive Password Auditor	www.elcomsoft.com/ppa.html	一个效果明显且简单易用的用户密码破解工具 -- 支持Rainbow Table
Effective File Search	www.sowsoft.com/search.htm	强大的文本搜索工具，适用于搜索本地文件或服务器上的共享文件。 -- 完全搜索类似于“密码”，“SSN”，等等之类的文本信息。 以发现那些未被保护的敏感信息
EtherPeek	www.wildpackets.com/products/etherpeek/overview	完美的网络分析器，可以找出不怀好意的系统，未被认可的协议， 找出上层的讲话者, 以及更多

作者： 出处： 天极博客

由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000 pro（建议还在使用98的朋友换换系统，连微软都放弃了的系统你还用它干嘛？）所以后面我将主要讲一下基于这两个操作系统的安全防范。

　　个人电脑常见的被入侵方式

　　谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种：

　　(1) 被他人盗取密码；

　　(2) 系统被木马攻击；

　　(3) 浏览网页时被恶意的java scrpit程序攻击；

　　(4) QQ被攻击或泄漏信息；

　　(5) 病毒感染；

　　(6) 系统存在漏洞使他人攻击自己。

　　(7) 黑客的恶意攻击。

　　下面我们就来看看通过什么样的手段来更有效的防范攻击。

　　1.察看本地共享资源

　　运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

　　2.删除共享(每次输入一个）

　　net share admin$ /delete

　　net share c$ /delete

　　net share d$ /delete（如果有e，f，……可以继续删除）

　　3.删除ipc$空连接

　　在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。

　　4.关闭自己的139端口，ipc和RPC漏洞存在于此。

　　关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

　　5．防止rpc漏洞

　　打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。

　　XP SP2和2000 pro sp4，均不存在该漏洞。

　　6．445端口的关闭

　　修改注册表，添加一个键值

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了

　　7．3389的关闭

　　XP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

　　Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）

　　使用2000 pro的朋友注意，网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。

　　8．4899的防范

　　网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

　　4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

　　所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

　　9、禁用服务

　　打开控制面板，进入管理工具——服务，关闭以下服务

　　1.Alerter[通知选定的用户和计算机管理警报]

　　2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

　　3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享

　　4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]

　　5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]

　　6.IMAPI CD-Burning COM Service[管理 CD 录制]

　　7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]

　　8.Kerberos Key Distribution Center[授权协议登录网络]

　　9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

　　10.Messenger[警报]

　　11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

　　12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

　　13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

　　14.Print Spooler[打印机服务，没有打印机就禁止吧]

　　15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]

　　16.Remote Registry[使远程计算机用户修改本地注册表]

　　17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

　　18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]

　　19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

　　20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]

　　21.Telnet[允许远程用户登录到此计算机并运行程序]

　　22.Terminal Services[允许用户以交互方式连接到远程计算机]

　　23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

　　如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。

　　10、账号密码的安全原则

　　首先禁用guest帐号，将系统内建的administrator帐号改名～～（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧～）

　　如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置（关于密码安全设置，我上面已经讲了，这里不再罗嗦了。　　　　

　　打开管理工具.本地安全设置.密码策略

　　1.密码必须符合复杂要求性.启用

　　2.密码最小值.我设置的是8

　　3.密码最长使用期限.我是默认设置42天

　　4.密码最短使用期限0天

　　5.强制密码历史 记住0个密码

　　6.用可还原的加密来存储密码 禁用　　　　

　　11、本地策略:

　　这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

　　(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

　　打开管理工具　　　　

　　找到本地安全设置.本地策略.审核策略

　　1.审核策略更改 成功失败

　　2.审核登陆事件 成功失败

　　3.审核对象访问 失败

　　4.审核跟踪过程 无审核

　　5.审核目录服务访问 失败

　　6.审核特权使用 失败

　　7.审核系统事件 成功失败

　　8.审核帐户登陆时间 成功失败

　　9.审核帐户管理 成功失败

　　&nb sp;然后再到管理工具找到

　　事件查看器

　　应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不覆盖事件

　　安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不覆盖事件

　　系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不覆盖事件

　　12、本地安全策略:

　　打开管理工具　　　　

　　找到本地安全设置.本地策略.安全选项　　　　　　

　　1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登陆的]

　　2.网络访问.不允许SAM帐户的匿名枚举 启用

　　3.网络访问.可匿名的共享 将后面的值删除

　　4.网络访问.可匿名的命名管道 将后面的值删除

　　5.网络访问.可远程访问的注册表路径 将后面的值删除

　　6.网络访问.可远程访问的注册表的子路径 将后面的值删除

　　7.网络访问.限制匿名访问命名管道和共享

　　8.帐户.（前面已经详细讲过拉 ）

　　13、用户权限分配策略:

　　打开管理工具　　　　

　　找到本地安全设置.本地策略.用户权限分配　　　　　　

　　1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID

　　2.从远程系统强制关机，Admin帐户也删除，一个都不留　　　　

　　3.拒绝从网络访问这台计算机 将ID删除

　　4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务

　　5.通过远端强制关机。删掉

　　14、终端服务配置

　　打开管理工具　　　　

　　终端服务配置

　　1.打开后，点连接，右键，属性，远程控制，点不允许远程控制

　　2.常规，加密级别，高，在使用标准Windows验证上点√!

　　3.网卡，将最多连接数上设置为0

　　4.高级，将里面的权限也删除.[我没设置]

　　再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话

安全方面的优化设置

很多操作系统默认的设置并不能做到最安全，那么我们的目标就是通过自己的设置来完善它。

NT系统有一个内建的系统管理员账号Administrator，这个账号对整个系统拥有最高级别的控制权，
需要重点关注。不过Windows XP中这个账号被隐藏了起来，而且该账号的密码是在安装操作系统
的时候输入的。可能很多人并没有意识到这一点，因此并没有给Administrator账号设置密码，
在这种情况下，只要有恶意的人能通过网络或者直接接触到你的电脑，那你的系统和数据就危险了。
因此如果你的系统中该账号密码为空，最好给这个账号设置一个密码。使用一个具有Administrators
组权限的账户登录，然后在运行中输入“control userpasswords2”并回车，你将会看到图七的界面，
选中Administrator账户，然后点击“重设密码”按钮，并输入一个新密码，确定即可。

该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件，造成用户机器运行速度变慢，破坏用户机器的可执行文件，给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

8、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
K***PFW.EXE
IPARMOR.EXE
Ravmond.exe

9、同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World"，判断网络状态，网络可用时，
枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

11、感染用户机器上的exe文件，但不感染以下文件夹中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

12、枚举系统进程，尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。

13、当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注：三个程序都为木马程序

14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"

如果有以上特征，那么恭喜您，呵呵，您中了威金病毒！

解决办法！

如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
删除downloadwww主键
二、找到
[hkey_local_machine/software/microsoft/windows nt/currentversion/inifilemapping/system.ini/boot]
winlogo 项
把winlogo 项 后面的c:winntsws32.dll 删掉
接下来把hkey_local_machine]software/microsoft/windows/currentversi 键中 /runonce/runonceex
两个中其中有个是也是
c:winntsws32.dll
把类似以上的全部删掉注意不要删除默认的键值（删了的话后果自负）
如果没有以上键值，则直接跳过此步骤

在C盘winnt根目录里找到logo1_.exe,vdll.dll和rundl132.exe（注意rundl----132.exe,后面一个是一，以前都让他混过去了）删除，注册表中也要删除rundl132.exe相关的内容。

三 结束进程
按“ctrl+alt+del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处
理更方便。找到expl0rer.exe进程（注意第5个字母是数字0不是字母o），找到它后选中它并点击“结束进程”
以结束掉（如果expl0rer.exe进程再次运行起来需要重做这一步）。

四 http://db.kingsoft.com/download/3/246.shtml这个是金山的

http://down1.tech.sina.com.cn/download/down_contents/1151769600/28441.shtml这个是瑞星的

请下载viking病毒专杀！这里提示您，该专杀软件只能提取清除普通文件里的病毒，但是在压缩文件里的病毒还在，最好还是购买瑞星正式版！

五 建立一个记事本添入以下内容

@echo off
echo 正在清除文件，请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
echo 清除完毕！
exit

盘符请自行更改！然后把*.txt后缀改成bat批处理文件！然后执行！ok !

六 防止再次感染
运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
============================================
消灭维金！终极战略！
不幸的中了维金病毒，被害了几天，本人苦苦研究了2天之后终于将维金病毒给彻

底消灭！小兴奋一下。
各种杀毒软件和网络上的专杀工具根本无法根治维金病毒，而各种方法也介绍得

过于简单，下面我就为大家介绍一套将杀毒软件与手动治疗于一体的软件将维金

给彻底消灭！

1.中毒之后断网马上重启电脑，重启之后如果电脑有先进的杀毒软件（推荐使用

卡巴斯基，我尝试了三款杀毒软件，最后发现只有卡巴能检测出大量病毒，其他

的只能查得出一点点，而且还杀不掉，到处都有破解的卡巴下载，不麻烦，只要

注意不要下载到病毒就OK了）则使用杀毒（记住此期间不要联网，不然病毒会自

动下载木马的），如果电脑里面没有先进的杀毒软件，就联网之后快快下载一个

破解版的卡巴（建议顺带下载一个安全卫士，一个维金瑞星专杀）然后升级再断

网，一定要快！维金复制得特别快，你的速越快，越容易消灭他。

2.杀毒软件准备好之后就开始杀毒，你会发现电脑有很多病毒和木马，而且一次

卡巴根本消灭不了，但是维金病毒有一点很厉害！你的卡巴只能使用一次，第二

次维金就会克制你的卡巴使它不能打开了（所以这次一定要把查到的全部杀了）

，如果在第一步中准备了安全卫士和专杀工具的在卡巴杀完之后将电脑转换到安

全模式（开机时按F8就可以进入了），在用上面两个工具杀杀（这两个不是太有

用，不过多少也能消灭一点）。

3.上面步骤完成以后初期工作就基本完成，接下来进入手动杀毒：病毒是在

windows目录下生成dll.dll,logo1_.exe,rundl132.exe这三个文件。
而dll.dll注入explorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加

入rundl132.exe 首先打开我的电脑！选工具——文件夹选项——查看（快捷键按

ALT+T再按O）中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文

件和文件夹"选中！
【1】.按CTRL+ALT+DEL在任务管理器中把rundl132.exe,logo1_.exe结束掉(没有

的话,不用操作),删除C盘内的logo1_.exel和rundl132.exe(不知道在哪里的,可以

打开我的电脑按CTRL+F然后搜索rundl132.exe,logo1_.exe)
【2】.因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除,

打开任务管理把进程中的explorer.exe结束掉，接着桌面变消失了，不怕！选中

任务管理器的“文件（F）”——“新任务（运行。。）（N）”然后运行

explorer.exe桌面就又出来了！接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找

它,然后删除)
【3】.在运行中输入regedit查找注册表键值：

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找

注册表键值rundl132.exe及在这项中的所有键值将其删除
【4】.打开我的电脑按CTRL+F然后搜索_desktop.ini,把找到的所有_desktop.ini

删除(删除后图标还显示在那里,别管它,关掉后在查一次看看是否还有)

4.将上面的步骤统统完成之后，病毒就已经不能再复制了，接下来就是删掉原有

的卡巴，然后再重新将卡巴装一次，重启，杀毒（这时就只需将剩下的木马给消

灭掉就可以了），杀完毒之后再重启，在我的电脑里搜索看有没有_desktop.ini

的文件，如果没有的话就恭喜你病毒全部消灭，如果还有的话就重复以上步骤直

至病毒全部消灭。
5.防止再次感染 运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用然后 点显示 添加 logo1_exe 也就是病毒的源文件 。
祝愿大家早日脱离维金的苦海！
===========================================
关键词: Worm_Viking  维金病毒 exe文件 感染 rund132.exe  logo_1.exe 1sy.exe 2sy.exe  0sy.exe 杀毒软件 文件监控失效 rundl132.exe  Worm.Logo.b病毒 “logo”蠕虫病毒 qq病毒

病毒症状:

1:传播方式和变种

该蠕虫同时具有文件型病毒、蠕虫、木马等类型的特点，进入计算机用户的系统之后，会从网上不断地下载多个木马、QQ尾巴病毒等恶意程序安装到受感染的计算机系统中，严重地会造成计算机系统完全崩溃而无法使用。该蠕虫主要利用共享目录、系统弱口令或是文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式等方式进行传播的。

近日该病毒的变种(Worm_Viking.BO)已经出现，该变种进入计算机用户的系统之后，会通过网络下载一些针对网络类游戏的木马程序并安装，试图窃取网络游戏的帐号、密码和装备。同时，该变种还会下载并安装一个QQ尾巴病毒，再利用受感染计算机系统中的聊天工具QQ不断地向外发送垃圾信息，并借机进行传播。

例如:发布以下信息:
           看看啊. 我最近的照片~ 才扫描到QQ象册上的 ^_^ ! http://www.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%xxxxxxE5%86%8C2/"
大家看到以后千万别点,会产生灾难性后果,值得注意的是,这个具有穿透性传染力的病毒可以抵御还原卡和还原软件的防护.

Worm.Logo.b病毒(可能是最维金病毒的早期版本,也有可能是不同杀毒软件的命名不同而已)
“logo”蠕虫病毒,该病毒通过IPC共享进行传播,会感染系统中的可执行文件.病毒还会从网上下载木马,从而窃取感染机器上的敏感信息.此木马可以在局域网中传播,能穿透冰点还原精灵的等还原软件.自动在QQ上发传播.而且病毒针对全盘,用Ghost恢复C盘是没用的.

2.主要症状: (详细症状见 http://vi.duba.net/index.shtml?CODE=02&virusid=38415&action=viewgraph)

 exe文件感染---病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成:_desktop.ini (文件属性:系统、隐藏。),但是在C盘某些系统目录和特定目录如:Microsoft Office或者msn目录的exe文件不感染.

关闭主流杀毒软件程序

生成文件和生成进程:

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
　　%SystemRoot%\rundl132.exe

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll,并注入到Explorer  或者Iexplore 进程

感染局域网,并从特定网址下载木马,发布qq消息,引诱他人中毒::

盗取魔兽、传奇帐号，灰鸽子开后门使系统完全受黑客控制，QQRobber病毒等

木马程序就是1sy.exe 2sy.exe  0sy.exe,还会下载一个 1.txt文件

修改注册表和启动项

1.病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"

2 将下载后的"1.txt"的内容添加到相关注册表项

 可穿透所有还原软件和硬件(对网吧管理者简直是恶梦)

由于病毒发作贮留于内存。且通过explore.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。例如:

4587cool 网友在问题中提到:"我装的是还原精灵6.1 我朋友装的是冰点全都中招了！

所以现在还原精灵 和 冰点 装了都没用的 "

摇曳·叶落网友在问题中也反映还原精灵无法解决

中国林网友在问题中提到他安装了硬盘还原卡(小哨兵的),从回答来看,应该也是被穿透了.

所以更不用说 windows的系统还原点了...

修改%SysRoot%\system32\drivers\etc\hosts

查杀方法

如果是一般病毒,我们杀毒的通用步骤见<Downloader病毒的清除转载自qmqu.com>一文中的通用杀毒步骤

但对于维金病毒,我们在开始安全模式下杀毒之前除了要注意通用步骤中的第一步关闭系统还原\清除启动项和第二步 删除internet零时文件外 , 我们还要做这个工作:

把你的杀毒软件升级到最新版本,假若你没有安装杀毒软件的话,那就装一个,(杀毒软件下载)记得装完后不要重新启动（切记），直接升级病毒库，升级完后，把c:\winnt 目录下所有带毒文件删除. 然后再进无网络连接的安全模式下杀毒(进安全模式方法),这个时候杀毒工具的可以有以下选择,我来做个比较:

1:用更新到最新病毒库(至少是9.26日后的)的卡巴斯基或者norton查杀:百度网友flywingzero 在http://zhidao.baidu.com/question/12636003.html中提到: 现时瑞星和金山的专杀工具，似乎对那些已经被感染了的EXE文件是没效果的，如果用升级过的瑞星去杀的话，是可以发现病毒，不过也会把那些EXE文件也删掉。我公司也中了这个毒，瑞星、金山等专杀根本没用，扫完后还在恭喜你没中毒。可喜的是，卡巴斯基6.0经过昨天26号的更新以后，已经可以全部杀除电脑上的viking了，重点是，可以清除被感染文件里的病毒，而不是删除。

个人觉得这个方法比较稳妥,因为不损伤exe文件

卡巴斯基的专杀下载:   不过目前没有viking病毒的专杀 ,只有其他病毒的专杀

2.用瑞星或者金山的专杀(下载: http://qmqu.com/frame/frameset-antivirus.html)或者用它们的最新版本杀:

目前有网友 landingkite 反映用最新版瑞星杀毒后,到目前瑞星还没有报毒.(网友原文)但也有不少网友反映专杀完全没用.

个人分析可能是因为: 瑞星杀毒后没有完全杀掉或者是自己被病毒干掉文件监控功能,所以不报毒,当然也不排除瑞星成功解决病毒的可能,也说不定 landingkite 网友在用瑞星杀完毒后发现自己的exe文件全部玩完......;  专杀完全没用可能是因为杀毒方法不对(未在安全模式下杀)或者是病毒变种太多.

你到卡巴斯基的主页上可以搜索下viking(点我搜索viking),可以搜到50多个变种,所以说专杀不能保证总是有效.

而且由于瑞星或者毒霸现在还没有网友反映可以在无损exe文件的前提下杀毒,所以还是要谨慎.

杀完后，还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来，重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。很有可能要重复杀毒3-5次才能杀干净。

需要注意的:

该病毒主要是通过弱口令、局域网共享、运行被感染exe文件等途径来进行传播的，所以需要打好系统补丁、关闭共享、对Administrator权限的密码进行强化等等，也可以说，关于此类病毒，防比治更重要！另外,建议做系统的时候把默认共享关闭。关闭ipc$ admin$，关闭554，关闭icmp路由等等手段. 一个好的防火墙(推荐zonealarm,下载)也是很有必要的.

另外,  手动查杀比较麻烦:(1、关闭rundl132.exe的进程，并删除
C:\WINDOWS\rundl132.exe

2、搜索找到并删除vidll.dll
可以通过SSM自动启动来禁用vidll.dll，重新启动后删除vidll.dll
或停止其插入的进程，再删除该dll文件,如果它插入了explorer.exe这个进程，那么
打开任务管理器（ALT+CTRL+Delete），结束掉explorer.exe这个进程，删除vidll.dll文件
然后用任务管理器上面的标签文件＝＝＝新建任务＝＝＝浏览，找到并运行
C:\WINDOWS\Explorer.exe  (注:有些变种的进程是 expl0rer.exe, 注意第5个字母是数字0而不是字母o,也需要关闭)

3、删除其在注册表中创建的信息及其他病毒文件_desktop.ini、logo_1.exe

找到注册表中[hkey_local_machine/software/soft/downloadwww]
auto = 1     删除downloadwww主键
找到[hkey_local_machine/software/microsoft/windowsnt/currentversion/inifilemappingsystem.iniboot]
winlogo项，把winlogo项后面的c:\winnt\sws32.dll删掉。
接下来把hkey_local_machine/software/microsoft/windows/currentversion/runonce/runonceex
两个中其中有个也是c:\winnt\sws32.dll。把类似以上的全部删掉，注意不要删除默认的键值。如果没有以上键值，则直接跳过此步骤。

4、修复被更改的hosts文件，hosts文件用记事本打开
C:\WINDOWS\system32\drivers\etc\hosts),大家借鉴下就可以了.

大家比较关心的问题: 能否恢复被感染的exe文件

个人看法:1. 你如果在卡巴斯基升级后能够不损伤exe文件杀毒,这是最完美的情况了

                2.如果在此之前你已经用过瑞星或者毒霸杀的话,估计恢复起来就比较难了,因为它们是把感染了的exe删掉了..

就目前看来,手动恢复起来难度较大.   不过网上流传了一些恢复方法,但没有测试过,大家有兴趣可以看看,

 

下载：Windows Media Player 11

    技巧从安装开始

    使用WMP11前我们得先执行软件安装包，可是微软在这一版本里加入了Windows正版验证。你是不是因为此项限制而被WMP11拒之门外？难道就这样放弃了？非也！其实在这些系统安装WMP11要绕个弯：首先确保系统安装了WinRAR压缩程序，打开安装文件所在的文件夹并右击，弹出的菜单选择“解压文件”，将安装程序内的文件解压出来。进入安装目录，依次运行umdf.exe、wmdbexport.exe、wmfdist11.exe、wmp11.exe四个可执行文件，重新启动计算机就可以体验WMP11。