词条 | worm.win32.ms08-067 |
释义 | 这是一个利用微软漏洞进行传播的蠕虫病毒。它利用微软操作系统的MS08-067漏洞,将自己植入未打补丁的电脑,并以局域网、U盘等多种方式传播。 病毒运行后会进行以下操作: 1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统,如果是病毒才继续执行; 2、给病毒所在进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的; 3、判断是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 进程,将自己代码放到那两个中的一个里面去,然后修改注册表不显示隐藏文件; 4、针对services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"进程进行DNS查询以及TCP传输过程拦截; 5、针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站; 6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动; 解决办法 首先断开网络,运行WSYSCHECK工具(没有请自己下载)找到进程svchost进程(病毒进程 红色)右击之,选择结束!在WSYSCHECK中的文件管理器中找到C:\\WINDOWS\\system32\\svchost.exe 病毒主文件svchost.exe直接删除!然后在活动文件选项中修复 svchost.exe!最后运行Serng工具修复被病毒损坏的系统(工具自动修复)!然后重新安装杀毒软件,升级到最新病毒库,全面查杀,将病毒残留物清除干净! 如果,以上的操作你不会,可以下载金山清理专家,启动其工具箱——进程管理器,选找出风险进程,找到后结束之,然后在文件管理器中找到C:\\WINDOWS\\system32\\svchost.exe 病毒主文件svchost.exe直接删除!并选择修复系统! 7、针对这个病毒现在瑞星杀毒可以直接查杀,你不防先安装瑞星免费版查杀,方便,快捷! |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。