威金病毒

见 https://baike.baidu.com/item/%E5%A8%81%E9%87%91%E7%97%85%E6%AF%92/10249690

特征

• 病毒运行后将自身复制到Windows文件夹下，文件名为：%SystemRoot%\rundl132.exe
• 运行被感染的文件后，病毒将病毒体复制到为以下文件：%SystemRoot%\logo_1.exe
• 同时病毒会在病毒文件夹下生成：病毒目录\vdll.dll
• 病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成：_desktop.ini（文件属性：系统、隐藏。）
• 病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
• 病毒通过添加如下注册表项实现病毒开机自动运行：
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
• 病毒运行时尝试查找窗体名为："RavMonClass"的程序，查找到窗体后发送消息关闭该程序。
• 枚举以下杀毒软件进程名，查找到后终止其进程：
• …… （还有非常多）