注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

【藏宝阁】

酒逢知己饮,诗向会人吟。相识满天下,知心能几人。

 
 
 

日志

 
 

杀w32.spybot.worm病毒记录   

2009-06-09 19:10:11|  分类: 电脑教程 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 http://securityresponse.symantec.com/zh/cn/security_response/writeup.jsp?docid=2003-053013-5943-99&tabid=3
   病毒症状:1、w32.spybot.worm病毒被Norton查到,但是清除失败,隔离失败.存在winnt/sc32Inch.exe特征文件。

 

            2、在服务列表中,存在一个Socks-Cap的服务,全称为"Socks-Cap Directory Service IIS Applications",其启动文件为"C:\WINNT\Sc32Inch.exe"。

病毒原因:没有及时地打上最新的系统补丁

清除病毒:1、在安全模式下,删除winnt/sc32Inch.exe文件.

                     2、到注册表中,Hkey_local_Machine\system\CurrentControlSet\Services\找到WSCSVC,删除.

     3、到注册表中,Hkey_local_Machine\system\ControlSet002\Services\找到WSCSVC,删除.

     4、开始,搜索,文件和文件夹,输入tftp*.*,删除所有找到的字节为0的文件.

     5、打上最新的系统补丁;

     6、如果安装了防火墙,请开通防火墙;

     7、双击公司文件服务器192.168.0.159\public\tools\safe.reg,将系统默认共享取消.

     8、重新启动机器.完成该病毒的查杀。
 =======================================================

 第一步 查毒

1、打开我的电脑,在菜单栏中找到【工具】菜单,点击后选择【文件夹选项】,选择【查看】标签,把【隐藏受保护的操作系统文件】前的小勾去掉,确定。

2、按键盘Ctrl+Alt+Del键,打开任务管理器,选择“进程”标签,查找updatez.exe进程。

3、在本机搜索文件updatez.exe,步骤:开始菜单->搜索(或查找)->文件或文件夹,在出现的输入框中输入updatez.exe,点搜索(或查找)按钮; winXP系统可能无法搜索到文件,可直接打开系统盘(一般为C盘),打开Windows文件夹,打开System32文件夹,看看有没有updatez.exe文件,如没有搜索到文件和进程,直接进入第三步安装防火墙。如有该文件或进程之一,删除该文件,删除方法:

第二步 杀毒

win98系统:找到文件所在位置,将文件删除。如果文件无法删除,按Ctrl+Alt+Del键,打开任务管理器,选择“进程”标签,查找updatez.exe进程,如有,点击“结束进程”按钮。然后再找到文件所在位置,将文件删除。

Win2000/XP:重启计算机,开机后按键盘上F8键,选择安全模式启动WINDOWS,按Ctrl+Alt+Del键,打开任务管理器,选择“进程”标签,查找updatez.exe进程,如有,点击“结束进程”按钮。然后再找到文件所在位置,将文件删除。

WinXP系统在删除文件后还必须去掉系统还原功能:右键单击我的电脑图标,选择“属性”,在出现的对话框中点“系统还原”标签,把“在所有驱动器上关闭系统还原 ”前的勾去掉,确定。

为了防止出现大规模爆发,请公司企业网用户对自己计算机进行检查,并安装防火墙。

由于现在病毒技术越来越复杂,危害性较大,尤其是蠕虫病毒,一旦感染上会因为计算机对外发出攻击而造成计算机崩溃,网络堵塞,形成无法上网的情况,所以建议各位用户做好以下事项:

1、安装杀毒软件并打开自动监控,定期查杀病毒。并定期升级病毒库。

2、重装系统后要安装好各种补丁程序,有时杀毒软件无法很快跟踪到新型病毒的出现,部分病毒杀完后还必须打上系统补丁(如冲击波、震荡波),否则病毒可能会再次感染。

3、有条件的用户可以安装防火墙并设置开机自动启动。

======================================================

一、W32.Spybot.Worm 病毒的特点

病毒名称:Win32.Spybot

别名:W32.Spybot.Worm (Symantec), W32/Spybot.worm.gen (McAFee),Win32.Spybot.gen, Win32/P2P.SpyBot.Variant.Worm

种类:Win32

类型:蠕虫

疯狂度:低

破坏性:中

普及度:中

特性

  Win32.Spybot 是一种在线网络聊天系统机器人(BOT)的开放性源代码蠕虫病毒,由于它的开放性和管理方式都来源于这些分布的机器人,这些广泛的机器人变量都有一些很微小的不同,通过远程用户在线聊天系统可以最多控制一台计算机的一些管理功能,同时它也有能力传播到点对点网络(P2P Networks)。

除这些标志的隐蔽功能外,它还具有以下功能:

■ 集合了关于本地计算机的配置信息,包括连接的类型、CPU速度和本地驱动的信息说明;

■ 在本地计算机安装和删除的文件;

■ 在本地计算机执行各色各样的命令;

Win32.Spybot还具有以下的能力(依靠不同的变量)

■ 传播途径:点对点网络、后门木马系统、Kuang木马和Sub Seven木马

■ 键盘操作记录(例如:计算机键盘敲击日志)

■ 毁掉防火墙和杀毒软件程序避免被察觉

■ 担当一个程序服务协议

Spybot通过安装它自身到注册表,以下就是默认的修改列表:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  这些机器人(Bots)通常是为了引导拒绝分布服务程序,尽管它也可以使用数字和做出一些不合逻辑的做法,例如:端口扫描、兜售信息(垃圾邮件)、传播一些不可信任的对象。

这个病毒Symantec 定为2 级,没有专杀工具,这段时间不少人感染,而且Symantec 只能发现无法清除。(要在安全模式下才能清除)。但注册表中的垃圾需要手工清除。W32.Spybot.Worm 是透过 KaZaA 文件共享和mIRC 扩散的蠕虫,也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC Server,W32.Spybot.Worm 可以执行不同后门功能,加入不同的频道倾听指令。

中文:W32.Spybot.Worm 的变种会使用下面的漏洞进行传播:

?MS03-026

( http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx )

使用 TCP port 135 的 DCOM RPC 弱点。

?MS04-011

(http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx) 微

软本机安全性认证服务远程缓冲区弱点

?MS02-061

( http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx )

使用 UDP port 1434 MS-SQL 2000 或MSDE 2000 验证弱点

?MS03-007

( http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx )

使用 TCP port 80 的 WebDAV 弱点

?MS01-059

( http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx )

UPnP 通知缓冲区弱点

?MS03-049

( http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx )

使用 TCP port 445 的工作站服务缓冲区溢位弱点,

Windows XP 的使用者只要有安装MS03-043

http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx )

就可以避免此弱点,Windows 2000 用户必须安装 MS03-049

类型: 蠕虫

感染长度: 不一定

受影响系统 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,

Windows Server 2003, Windows XP

不受影响系统 DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows

3.x

危害:

1. 将个人数据送到 IRC 频道

2. 在受感染计算机上执行未经认证的命令

3. 会造成本地局域网网络拥塞

二、清除步骤

1、隔离计算机:断开所有计算机的网络连接,逐一清除每一台计算机,必须要

做到网络中的每一台计算机都不放过。

2、清除病毒:

(1)关闭WINXP 和WINME 系统的“系统还原”功能,右键点击“我的电脑”—

—〉属性——〉系统还原——〉关闭所有盘上的系统还原功能

(2)更新Symantec 防毒软件到最新的病毒定义码

(3)重新启动计算机到安全模式

(4)对计算机做手动完全扫描

(5)记录被感染的文件名,并删除受感染的文件(可能防毒软件会删除,也可

以手工删除)关键一步这就是删除感染病毒体的文件

(6)备份注册表:开始——运行——〉输入“regedit”——〉注册表——〉导

出注册表文件

(7)检查注册表中的一下各项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R

un

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R

unOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R

unServices

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer

sion\Run

删除刚才记录的文件名键值

(8)针对不同的操作系统,安装我列出的补丁,这一点是这样的虽然上面提

到这么多补丁,但实际上安装的时候按照以下方式安装即可:

Win2k:先安装sp4 然后安装下面的HOTFIX,具体可供过微软站搜索下载

Windows2000-KB824146-x86-CHS.exe

Windows2000-KB835732-x86-CHS.EXE

Windows2000-KB828749-x86-CHS.exe

Windows2000-KB828035-x86-CHS.exe

WinXP:先安装SP1 然后安装下面列出的HOTFIX(SP2 出来了可以直接

安装SP2 省去很多麻烦):

WindowsXP-KB824146-x86-CHS.exe

WindowsXP-KB828035-x86-CHS.exe

WindowsXP-KB835732-x86-CHS.EXE

(9)将具有系统管理员权限的用户的口令设置为7 位以上的复杂密码

需要注意的是:安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播,但

系统仍然不安全,非常有必要通过windows update 更新其它关键的更新。

注:主要参考Symantec 对该病毒的分析。
==========================================
賽門鐵克可以發現這隻毒,可是會清不掉,所以幫各位找了一下解毒方法

已知的病毒名稱有:

Worm.P2P.SpyBot.gen [Kaspersky], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend], Win32.Spybot.gen [Computer Associates]

所影晌系統有:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

以下是解毒五步驟

1。關掉系統回復(我的電腦->控制台->系統點進去->看到最上面有一個系統還原,把那個關閉系統還原勾起來)

2。把你的防毒軟體update

3。重開機於安全模式中(在進windows前,壓F8鍵)

4。於安全系統中,掃描全系統檔案(以我的例子是掃到一個叫SVCCHOSTS.EXE的感染檔案),找到後,並把他刪除掉

5。刪除加在你機碼中的數值(開始列->執行->打regedit)
ps.注意喔,不是刪掉全部,依本人的例子是,刪掉在右頁看到有svcchosts.exe的機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\OLE

離開系統登錄程式 (有加了個附件,讓不太懂怎麼刪的人看一下)

6。刪除放在你檔案中任何是tftp*.*的檔,在開始->搜尋->所以檔案和資料夾->找到為大小為0的都殺~~~殺殺

(注意,只有檔案大小為0的才可刪除,原有的那個18K的檔勿刪唷,以本人的例子,掃出大小為0的檔有19個,都要刪除掉)


7。重開機,享受快樂除毒完後的電腦

  评论这张
 
阅读(187)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017