Worm.Viking.gm

该病毒为Windows平台下感染型病毒，病毒运行后将自身伪装成系统正常文件，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒。该病毒通过局域网传播。

1、病毒运行后将自身复制到Windows文件夹下,文件名为:
　　%windows%\uninstall\rundl132.exe
%windows%\Richdll.dll

2、运行被感染的文件后，病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe

3、病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件

4、病毒运行时尝试查找窗体名为:"RavMonClass"的程序，查找到窗体后发送消息关闭该程序。

5、枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe

6、同时病毒尝试利用以下命令终止相关杀病毒软件：
netstop"KingsoftAntiVirusService"

7、发送ICMP探测数据"Hello,World"，判定网络状态，网络可用时，
枚举内网所有共享主机，并尝试用弱口令连接\\IPC$、\admin$等共享目录，连接成功后进行网络感染。

8、枚举系统进程，尝试将病毒dll选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个，该DLL连接网络下载多种木马病毒。