词条 | Worm_Zotob.A |
释义 | 简介病毒名称:“狙击波”(Worm_Zotob.A) 病毒类型:蠕虫 病毒级别:三级 感染系统:Windows 2000, Windows NT, Windows XP(未安装SP2) 病毒长度:22,528字节 其它命名:Worm.Zotob.a(金山) I-Worm.Zobot W32.Zotob.A(Symantec) Zotob.A (F-Secure) W32/Zotob.worm (McAfee) W32/Zotob-A (Sophos) WORM_ZOTOB.A (Trend) 病毒特征“狙击波” (Worm_Zotob.A)及其变种是利用几天前微软刚刚公布的系统严重漏洞(Windows Plug and Play 服务漏洞)攻击TCP端口445,攻击代码向目标系统的445端口发送漏洞代码,使目标系统造成缓冲区溢出,同时运行病毒代码,进行传播。 另外与震荡波、冲击波发作时的现象类似,系统受到攻击后,会不断重启。 1、生成病毒文件 在%System%目录下生成botzor.exe。(其中,%System%是Windows的系统文件夹,通常是 C:\\Windows\\System、C:\\WINNT\\System32或C:\\Windows\\System32) 2、修改注册表项 病毒创建注册表项,使得自身能够在系统启动时自动运行,在 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下创建注册项"WINDOWS SYSTEM" = "botzor.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunService下创建注册项"WINDOWS SYSTEM" = "botzor.exe" 病毒还会将注册表HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ SharedAccess中的键值"Start"的值改为0x00000004以便阻止WinXP自带的防火墙运行。 3、蠕虫的传播 蠕虫通过微软的即插即用漏洞(MS05-039)进行传播。通过对网络中445端口的扫描,一旦发现有机器没有安装安全漏洞补丁,蠕虫就会通过445端口进行传播。 4、其它 病毒被激活后,会连接到服务器diabl0.turkcoders . net,黑客能够通过服务器向被感染的机器发送命令。 同时,病毒还会修改HOST文件,以便阻止被感染的用户访问防病毒软件厂商的主页。 手工清除该病毒的相关操作(一)注册表的恢复 1、打开注册表编辑器 2、在左边的面板中打开 HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,在右边的面板中删除病毒文件的键值 3、在左边的面板中打开 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunService,在右边的面板中删除病毒文件的键值 (二)删除病毒释放的文件 点击“开始——〉查找——〉文件和文件夹”,查找文件“botzor.exe”,并将找到的文件删除。 (三)恢复微软自带防火墙的运行 在左边的面板中打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess 在右边的面板中找到Start并且将其键值改为0x00000003 (四)运行杀毒软件,对系统进行全面的病毒查杀 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。