§ 简介

病毒名称：“狙击波”（Worm_Zotob.A）

病毒类型：蠕虫

病毒级别：三级

感染系统：Windows 2000, Windows NT, Windows XP（未安装SP2）

病毒长度：22,528字节

其它命名：Worm.Zotob.a（金山）

I-Worm.Zobot

W32.Zotob.A（Symantec）

Zotob.A （F-Secure）

W32/Zotob.worm （McAfee）

W32/Zotob-A （Sophos）

WORM_ZOTOB.A （Trend）

§ 病毒特征

另外与震荡波、冲击波发作时的现象类似，系统受到攻击后，会不断重启。

1、生成病毒文件

在%System%目录下生成botzor.exe。（其中，%System%是Windows的系统文件夹，通常是 C:\\Windows\\System、C:\\WINNT\\System32或C:\\Windows\\System32）

2、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下创建注册项"WINDOWS SYSTEM" = "botzor.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunService下创建注册项"WINDOWS SYSTEM" = "botzor.exe"

病毒还会将注册表HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\

SharedAccess中的键值"Start"的值改为0x00000004以便阻止WinXP自带的防火墙运行。

3、蠕虫的传播

蠕虫通过微软的即插即用漏洞（MS05-039）进行传播。通过对网络中445端口的扫描，一旦发现有机器没有安装安全漏洞补丁，蠕虫就会通过445端口进行传播。

4、其它

病毒被激活后，会连接到服务器diabl0.turkcoders.net，黑客能够通过服务器向被感染的机器发送命令。

同时，病毒还会修改HOST文件，以便阻止被感染的用户访问防病毒软件厂商的主页。

手工清除该病毒的相关操作：

（一）注册表的恢复

1、打开注册表编辑器

2、在左边的面板中打开

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，在右边的面板中删除病毒文件的键值

3、在左边的面板中打开

HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunService，在右边的面板中删除病毒文件的键值

（二）删除病毒释放的文件

点击“开始——〉查找——〉文件和文件夹”，查找文件“botzor.exe”，并将找到的文件删除。

（三）恢复微软自带防火墙的运行

在左边的面板中打开

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess

在右边的面板中找到Start并且将其键值改为0x00000003

（四）运行杀毒软件，对系统进行全面的病毒查杀

• 走进艺术的殿堂，接受艺术的熏陶
• 走送
• 走逃
• 走遍美国史
• 走道
• 走道儿
• 走避
• 走郎中
• 走野
• 走镖
• 走门子
• 走队
• 走阳
• 走阴司
• 走阴差
• 走险
• 走难
• 走集
• 走音
• 走风
• 走风的人
• 走飞
• 走马塘风景区
• 走马岭站
• 走马报