一、病毒标签：

　　病毒名称： Worm.Win32.Viking.n

　　病毒类型： 蠕虫类

　　文件 MD5： F12AE547FEECA251D883EA2D1BBACBCD

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 30,102 字节

　　感染系统： Windows98以上版本

　　开发工具：Borland Delphi

　　加壳类型： Upack 2.4 - 2.9 beta

　　二、病毒描述：

　　该病毒为蠕虫类，病毒运行后复制自身到系统目录，并重命名为rundl132.exe，衍生病毒文件vDll.dll插入到EXPLORER.EXE进程中。 修改注册表，添加启动项，以达到随机启动的目的。尝试连接网络下载病毒相关文件。

　　三、行为分析：

　　1、 文件运行后会衍生以下文件

　　（病毒当前目录）\vDll.dll 23,552 字节

　　%WinDir%\rundl132.exe 30,102字节

　　2、修改注册表

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

　　新建键值：字串：" load "=" C:\WINDOWS\rundl132.exe "

　　原键值：字串："ImagePath "="system32\DRIVERS\sr.sys. "

　　描述：添加启动项，以达到随机启动的目的

　　3、设置远程线程来执行vDll.dll,在执行时插入到EXPLORER.EXE进程中

　　4、尝试连接网络下载病毒文件，地址为219.232.228.153：80

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量；路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径；

　　病毒通过查询操作系统来决定当前System32文件夹的位置；

　　Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

　　Windows95/98/Me中默认的安装路径是　C:\Windows\System；

　　WindowsXP中默认的安装路径是　C:\Windows\System32。

[1] [2] 下一页