| 词条 | “网结”病毒(Worm.Plexus.b) |
| 释义 | § 名称 “网结”病毒(Worm.Plexus.b) § 相关资料 金山毒霸反病毒中心在6月17日晚上截获“网结”病毒及其变种(Worm.Plexus.b),该病毒是一种蠕虫病毒。感染系统后,会对随机IP进行RPC和LSASS漏洞进行攻击,开设后门,方便攻击者控制,还会发送大量病毒邮件。该病毒传播速度极快,会对网络造成严重堵塞。 病毒信息: 病毒名称: Worm.Plexus.b 中文名称: “网结”病毒 威胁级别: 3C 受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003 传染条件: 1、此蠕虫利用Worm.MyDoom 的源代码 2、利用LSASS溢出漏洞(MS04-011)和 DCOM RPC 漏洞(MS03-026)进行传播 破坏方式: 对随机IP进行RPC和LSASS漏洞进行攻击,开设后门,方便攻击者控制,还会发送大量病毒邮件。 技术特点: A、 1、将自身复制到系统安装目录下生成如下文件: %SystemRoot%\\\\\\\\system32\\\\\\\\upu.exe 2、找到KaZaA的共享目录,并将自身复制成以下文件之一: AVP5.xcrack.exe hx00def.exe ICQBomber.exe InternetOptimizer1.05b.exe Shrek_2.exe UnNukeit9xNTICQ04noimageCrk.exe YahooDBMails.exe 3、找到网络共享目录,并将自身复制成以下文件之一: hx00def.exe ICQBomber.exe InternetOptimizer1.05b.exe Shrek_2.exe UnNukeit9xNTICQ04noimageCrk.exe YahooDBMails.exe B、 1、在注册表主键: HKEY_LOCAL_MACHINE\\\\\\\\Software\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\Currentversion\\\\\\\\Run 下添加如下键值: "NvClipRsv" = "%SystemRoot%\\\\\\\\system32\\\\\\\\upu.exe" C、在%SystemRoot%\\\\\\\\system32\\\\\\\\drivers\\\\\\\\etc\\\\\\\\目录下的文件hosts中添加如下内容: 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.com D、使用“Expletus”互斥体,来判断自己是否已经运行。 E、开窍TCP135和TCP445,并监听1250和一个随机端口 F、搜索硬盘中所有以htm、html、php、tbb、txt为后缀名的文件,从中查找E-Mail地址。 G、使用自己的SMTP引擎,向找到的E-Mail地址发信。发信内容如下之一: Subject: RE: order Message: Hi. Here is the archive with those information, you asked me. And don\\\\\\'t forget, it is strongly confidencial!!! Seya, man. P.S. Don\\\\\\'t forget my fee ;) Attachment: SecUNCE.exe Subject: For you Message: Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza Attachment: AtlantI.exe Subject: Hi, Mike Message: My friend gave me this account generator for http: //www.pantyola.com I wanna share it with you :) And please do not distribute it. It\\\\\\'s private. Attachment: AGen1.03.exe Subject: Good offer. Message: Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me... Attachment: demo.exe Subject: RE: Message: Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve Attachment: release.exe 解决方案: · 请使用金山毒霸2004年06月18日的病毒库可完全处理该病毒; · 对于不明邮件不要打开附件运行; · 手工解决方案: 首先,如果系统为WinMe或WinXP,则请先关闭系统还原功能。 (毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能) 对于系统是Win9x/WinMe: 步骤一,删除病毒主程序 请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为 C:\\\\\\\\windows),分别输入以下命令,以便删除病毒程序: C:\\\\\\\\windows\\\\\\\\>cd system C:\\\\\\\\windows\\\\\\\\system32\\\\\\\\del upu.exe 完毕后,取出系统软盘,重新引导到Windows系统。 如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。 步骤二,清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter; 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_LOCAL_MACHINE\\\\\\\\Software\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\Currentversion\\\\\\\\Run 找到并删除如下项目: "NvClipRsv" = "%SystemRoot%\\\\\\\\system32\\\\\\\\upu.exe" 关闭注册表编辑器. 步骤三,清除病毒修改的host文件: 用记事本打开%SystemRoot%\\\\\\\\system32\\\\\\\\drivers\\\\\\\\etc\\\\\\\\下的host文件,将以下内容 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 删除,并保存。 对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever: 步骤一,使用进程序管里器结束病毒进程 右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务 管理器中,单击“进程”标签,在例表栏内找到病毒进程“ upu.exe”,单击“结束进程按 钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”; 步骤二,查找并删除病毒程序 通过“我的电脑”或“资源管理器”进入系统目录(Winnt\\\\\\\\system32或windows\\\\\\\\system32),找 到文件" SysTask.exe", 将其删除; 步骤三,清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter; 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_LOCAL_MACHINE\\\\\\\\Software\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\Currentversion\\\\\\\\Run 找到并删除如下项目: "NvClipRsv" = "%SystemRoot%\\\\\\\\system32\\\\\\\\upu.exe" 关闭注册表编辑器。 步骤四,清除病毒修改的host文件: 用记事本打开%SystemRoot%\\\\\\\\system32\\\\\\\\drivers\\\\\\\\etc\\\\\\\\下的host文件,将以下内容 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 删除,并保存。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。