rundl132.exe 病毒….

這個病毒真的是非常非常的麻煩

這是我遇過與疾風病毒破壞力相比可說是有過之而無不及 
中毒之後  我本來想說能用就好 至於木馬想偷我資料或帳號就給它偷吧 反正我也沒啥機密資料 
可是它越來越嚴重從開始的開檔案要開兩次 就跟真的病毒一樣 不理它就越來越嚴重 ….

拖到之後變成連上網的功能都被淪陷了  所有的應用程式也都失控了
我沒辦法就只好重灌了 囧
可怕的是我重灌的好幾次都"沒辦法根除"   真的要"整顆硬碟格式化"重灌才行
不然它還是會立刻感染"硬碟所有EXE檔"以及"區域網路的電腦"
中毒徵狀 開啟工作管理員看到"rundl132.exe" 不斷地執行 包含讓你的電腦非常非常慢

以及無法開啟EXE執行檔 甚至於連防毒軟體都會被感染
可怕的是worm.viking至今還是不斷的變形 現在還有夾帶木馬以及一堆病毒的變種版 恩…….
我覺得大家最好把自己重要的資料備份再備份吧 也最好不要在網路暴露自己的資料和私密文件
中毒了 最好是整各硬碟砍掉重練吧  最重要的事 不是要問我怎麼辦 因為我睡拉 …….. 

以下簡介取材自網路~

Worm@W32.Looked.5 (or Looked.B or PD or …)

Looked.5 駭蟲會感染執行檔並且透過網路分享散播自己

Looked.5 駭蟲會感染C 至Y 磁碟機內的執行檔(exe 檔)並且透過網路分享散播病毒本體。

Worm@W32.Looked.5 行為描述：註：%Windir%代表系統所在目錄，在Win95/98/me系統預設值為 C:windows

在WinNT/2000/XP/2003系統預設值為 C:WinNT

• 病毒執行後，將駭蟲本身複製到%Windir%

  rundl132.exe

• 駭蟲會植入一個virDll.dll 的檔案到Internet Explorer 或explorer.exe.

• 會拷貝一個名為Downloader 的檔案在%CurrentFolder%vDll.dll

• 建立_desktop.ini檔案在任何目錄裡且尋找任何可執行的檔案，此蠕蟲會隱藏被感染的檔案並修改系統屬性以及設定被執行的日期。

• 增加下列登錄檔內的值，每次開機執行Windows 時就開始執行此蠕蟲:

  HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

  "load" = "%Windir%rundl132.exe"

• 修改登錄檔，如此開機即會啟動駭蟲。

  HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW

  "auto" = "1"

• 會尋找並感染共享資料夾內的.exe 檔

• 下列名稱的資料夾內的exe檔不受感染：

  system

  system32

  ……….

• 可感染C 到Y 磁碟機內的執行檔(exe檔)

• 嘗試使用管理者作為用戶名和一個空白的密碼企圖打開分享資料夾，如成功打開後會複製本體到此資料夾。

• 如對ICMP 有所回應，企圖開啟下列名稱的共享資料夾：

  \ipc$

  \admin$

• 對下列IP位址發出包含"Hello,World"的ICMP 封包：

  192.168.0.30

  192.168.8.1

• 會對上述IP 位址範圍內的電腦發送ICMP 封包