使用Wireshark (Ethereal)截包找出感染威金(viking)病毒的机器

      单位的实验室由于机器众多又没有统一的管理，经常有个别机器忘了安装杀毒软件而感染威金病毒，一旦某台机器感染，文件服务器上开放写权限的目录就成为了最大的受害者，_desktop.ini文件到处都是，被感染的exe文件被其他人使用后使得病毒迅速扩散。这几天打印机也被病毒害得莫名其妙地打出只有日期的纸。       

       为了找到病毒散布的源头，根据威金病毒新建_desktop.ini文件的特点，可以采用如下方法：       

        首先删除文件服务器上开放写权限的目录上所有的_desktop.ini文件，可采用dos命令

del _desktop.ini  / a  / s  / q  / f

        因为如果不删除这些文件的话，威金病毒不会重新去新建这些文件，从而截获不到新建文件的数据包。

        然后在文件服务器上启动Wireshark (Ethereal)，在filter中输入

smb.cmd  ==   0xa2  and smb.file == " _desktop.ini "

        其中0xa2表示新建文件。

         剩下的就是等待了。