Worm.Win32.Viking(威金，维金.蠕虫)

    病毒分析：
　　     1、运行后的文件行为：病毒文件或被感染文件运行后，释放如下文件：
　　            %ProgramFiles%\svhost32.exe    //不同的变种生成的文件会有所不同，但大多数变种会释放以上文件。
　　            %windir%\logo1_.exe
　　            %windir%\rundl132.exe
　　            %windir%\dll.dll
　　　　        病毒运行后会遍历各个目录，在各个目录下生成_desktop.ini文件并写入感染病毒的日期；找到exe文件并
                写入病毒体。被感染文件的图标会发生变化，会不如原来清晰。
　　     2、注册表行为：添加注册表启动项键值确保重启动后被自动加载：
　　 　         键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Windows
　　　            键名：rundl132.exe
　　　            键值："load"="%Windows%\rundl132.exe"　//注意不是rundll32.exe
　       3、其他行为：
　　　          从相应网站下载木马运行。多为盗取QQ和网游用户名和密码的木马。
　　　          关闭大多数杀毒软件。
　　　          尝试访问局域网内\ipc$、\admin$共享感染其它计算机上的exe文件。

 

 

二、维金为什么难以彻底清除

 

    因为病毒会感染exe文件，如果仅仅删除了内存中的病毒文件，不对已感染的文件进行修复的话，当用户运行已感染文
件的时候，病毒就会立即发作，重新感染exe文件。那么保证系统内没有被感染的文件，就能高枕无忧了吗？ 当然不能了。
因为病毒会访问局域网上的共享目录和有弱口令的机器，从而传播病毒。所以你有共享目录或存在弱口令的话， 而你所在
的局域网又有被感染的机器，viking就又回来了。该病毒还会停止大多数的杀毒软件，使用户得不到危险提示， 从而延长
了病毒存活和传播的时间。

 

三、怎样辨别是否已感染了维金病毒      

 

 

    如果你的图标有一部分变的模糊了，你可能已经中了viking了。这时，杀毒软件莫名其妙的不工作了， 很多文件夹下
都出现了_desktop.ini文件，进程中出现了Logo_1.exe,rundl132.exe。 这一切表明你已经中了viking或它的变种了， 你
的机器的反应速度会越来越慢。如果你在局域网中的话，你周围的机器也有可能会出现与你相似的情况。 这时，杀毒是你
唯一的出路。

 

四、如何恢复已被感染的文件

 

    如果你是个人用户，并没有过修复被病毒感染的文件，那么建议你不要进行手工修复， 只要下载超级巡警或超级巡警
提供的专杀，轻松几下点击，你的系统就会完好如初了。
    对于高级用户，你可以手工修复受损文件，然后用超级巡警对系统进行全面扫描，确保彻底清理。

 

五、对于预防病毒的建议

 

    打开杀毒软件的实时监控还是必要的。不要随意共享可写的本机目录，共享时要加上密码。要确保机器上不存在含有
弱口令的帐号。要及时升级系统及杀毒软件。新拷贝的文件，尤其是exe文件，要进行查毒。