““混合蠕虫”(Worm.ForBot.a)”的意思、由来-中文百科全书

病毒信息

病毒名称: Worm.ForBot.a

中文名称:混合蠕虫

威胁级别:3A

病毒别名

Backdoor.ForBot.a[AVP]

Worm.ForBot.a [瑞星]

病毒类型

后门，蠕虫

受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

技术特点

A、在系统安装目录下生成如下文件,并将病毒前一个运行文件删除：

%System%\\smsc.exe

并运行这个新生成的文件

B、添加注册表键值

1、在注册表主键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

下添加如下键值：

"Win32 USB 2 Driver" = "smsc.exe"

C、创建一个名为"Win32 USB 2 Driver"服务

发作现象：

A、对网站进行DoS攻击

B、DOS攻击利用以下技术

HTTP FLOOD

UPD FLOOD

PINF FLOOD

SYN FLOOD

C、通过IRC进行传播，控制感染机器

D、利用多种微软漏洞进行传播。

MS04-011（LSASS漏洞）

MS03-026（RPC/DCOM漏洞）

MS03-001（RPC Locator 漏洞）

MS03-007（IIS/WebDAV 漏洞）

E、盗取正版游戏CD-Key

Battlefield 1942

Black and White

Command and Conquer

Counter-Strike

FIFA 2002

FIFA 2003

Global Operations

Gunman Chronicles

Half-Life

Hidden and Dangerous 2

IGI2 Covert Strike

Industry Giant 2

James Bond 007 Nightfire

Medal of Honor Allied Assault

Medal of Honor Allied Assault Breakthrough

Medal of Honor Allied Assault Spearhead

Nascar Racing 2002

Nascar Racing 2003

NHL 2002

NHL 2003

Need For Speed Hot Pursuit 2

Need For Speed Underground

Neverwinter Nights

Ravenshield

Shogun Total War Warlord Edition

Soldiers Of Anarchy

Soldier Of Fortune 2

The Gladiators

Unreal Tournament 2003

F、会对关闭多种安全软件的进程

ACKWIN32.EXE

ADVXDWIN.EXE

AGENTSVR.EXE

ALERTSVC.EXE

ALOGSERV.EXE

AMON9X.EXE

ANTI-TROJAN.EXE

ANTIVIRUS.EXE

ANTS.EXE

APIMONITOR.EXE

APLICA32.EXE

APVXDWIN.EXE

ATCON.EXE

ATGUARD.EXE

ATRO55EN.EXE

ATUPDATER.EXE

ATWATCH.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOUPDATE.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCC32.EXE

AVGCTRL.EXE

AVGNT.EXE

AVGSERV.EXE

AVGSERV9.EXE

AVGUARD.EXE

AVGW.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPTC32.EXE

AVPUPD.EXE

AVWIN95.EXE

AVWINNT.EXE

AVWUPD32.EXE

AVWUPSRV.EXE

AVXMONITOR9X.EXE

AVXMONITORNT.EXE

AVXQUAR.EXE

AckWin32.EXE

AutoTrace.EXE

AvSynMgr.AVSYNMGR.EXE

AvgServ.EXE

Avgctrl.EXE

AvkServ.EXE

Avsched32.EXE

BD_PROFESSIONAL.EXE

BIDEF.EXE

BIDSERVER.EXE

BIPCP.EXE

BIPCPEVALSETUP.EXE

BISP.EXE

BLACKD.EXE

BLACKICE.EXE

BOOTWARN.EXE

BORG2.EXE

BS120.EXE

BlackICE.EXE

CDP.EXE

CFGWIZ.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95CF.EXE

CLEAN.EXE

CLEANER.EXE

CLEANER3.EXE

CLEANPC.EXE

CMGRDIAN.EXE

CMON016.EXE

CONNECTIONMONITOR.EXE

CPD.EXE

CPF9X206.EXE

CPFNT206.EXE

CTRL.EXE

CV.EXE

CWNB181.EXE

CWNTDWMO.EXE

Claw95.EXE

Claw95cf.EXE

DEFWATCH.EXE

DEPUTY.EXE

DOORS.EXE

DPF.EXE

DPFSETUP.EXE

DRWATSON.EXE

DRWEB32.EXE

DVP95.EXE

DVP95_0.EXE

ECENGINE.EXE

EFPEADM.EXE

ENT.EXE

ESAFE.EXE

ESCANH95.EXE

ESCANHNT.EXE

ESCANV95.EXE

ESPWATCH.EXE

ETRUSTCIPE.EXE

EVPN.EXE

EXANTIVIRUS-CNET.EXE

EXE.AVXW.EXE

EXPERT.EXE

F-AGNT95.EXE

F-PROT.EXE

F-PROT95.EXE

F-STOPW.EXE

FAST.EXE

FINDVIRU.EXE

FIREWALL.EXE

FLOWPROTECTOR.EXE

FP-WIN.EXE

FP-WIN_TRIAL.EXE

FPROT.EXE

FRW.EXE

FSAV.EXE

FSAV530STBYB.EXE

等等。

解决方案

· 请使用杀毒软件2004年06月11日后的病毒库可完全处理该病毒；

· 请立即打上系统补丁，并关闭系统中不必要的共享和设置管理密码更强状。

· 在使用P2P软件下载程序时，请通过反病毒软件检测后再使用。

手工解决方案

如果系统为WinMe或WinXP，则请先关闭系统还原功能。

（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能）

对于系统是Win9x/WinMe:

步骤一，步骤一，删除病毒主程序

请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为C:\\windows），分别输入以下命令，以便删除病毒程序：

C:\\windows\\>cd system

C:\\windows\\system\\del smsc.exe

完毕后，取出系统软盘，重新引导到Windows系统。

如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

步骤二，清除病毒在注册表里添加的项

1、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run

找到并删除如下项目：

"Win32 USB 2 Driver" = "smsc.exe"

2、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\

找到并删除如下项目：

"Win32 USB 2 Driver" = "smsc.exe"

3、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

找到并删除如下项目：

"Win32 USB 2 Driver" = "smsc.exe"

关闭注册表编辑器.

对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever

步骤一，使用进程序管里器结束病毒进程

右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“smsc.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除病毒程序

通过“我的电脑”或“资源管理器”进入系统目录(Winnt\\system32或windows\\system32)，找到文件"smsc.exe", 将其删除；

步骤三，清除病毒在注册表里添加的项

参考Win9x/WinMe

将微软的补丁升级完全

依次打开，开始菜单→程序→Windows Update；进行系统升级。

不要下载或打开不知来源的文件。

专家提醒:

1、请及时升级您的杀毒软件到最新。因为病毒随时在产生，杀毒软件的病毒库也会随时升级中，请多关注杀毒软件安全咨询网上的最新病毒公告。

2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

3、请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，注意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件；

4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

词条	“混合蠕虫”(Worm.ForBot.a)
释义	“混合蠕虫”(Worm.ForBot.a)是一个利用多种漏洞以及弱密码攻击的方式进行传播的蠕虫病毒。该病毒利用最近几个微软最严重的漏洞进行快速传播，其它LSASS漏洞、RPC漏洞最为严重。病毒进入系统后会开启后门、中止大量安全软件，并偷取大量正版游戏的序列号，给用户造成一定的经济损失。病毒还会使用IPC共享、P2P等共享软件来传播自己。病毒信息病毒别名病毒类型技术特点解决方案手工解决方案病毒信息病毒名称: Worm.ForBot.a 中文名称:混合蠕虫威胁级别:3A 病毒别名 Backdoor.ForBot.a[AVP] Worm.ForBot.a [瑞星] 病毒类型后门，蠕虫受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003 技术特点 A、在系统安装目录下生成如下文件,并将病毒前一个运行文件删除： %System%\\smsc.exe 并运行这个新生成的文件 B、添加注册表键值 1、在注册表主键： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\ HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\ HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run 下添加如下键值： "Win32 USB 2 Driver" = "smsc.exe" C、创建一个名为"Win32 USB 2 Driver"服务发作现象： A、对网站进行DoS攻击 B、DOS攻击利用以下技术 HTTP FLOOD UPD FLOOD PINF FLOOD SYN FLOOD C、通过IRC进行传播，控制感染机器 D、利用多种微软漏洞进行传播。 MS04-011（LSASS漏洞） MS03-026（RPC/DCOM漏洞） MS03-001（RPC Locator 漏洞） MS03-007（IIS/WebDAV 漏洞） E、盗取正版游戏CD-Key Battlefield 1942 Black and White Command and Conquer Counter-Strike FIFA 2002 FIFA 2003 Global Operations Gunman Chronicles Half-Life Hidden and Dangerous 2 IGI2 Covert Strike Industry Giant 2 James Bond 007 Nightfire Medal of Honor Allied Assault Medal of Honor Allied Assault Breakthrough Medal of Honor Allied Assault Spearhead Nascar Racing 2002 Nascar Racing 2003 NHL 2002 NHL 2003 Need For Speed Hot Pursuit 2 Need For Speed Underground Neverwinter Nights Ravenshield Shogun Total War Warlord Edition Soldiers Of Anarchy Soldier Of Fortune 2 The Gladiators Unreal Tournament 2003 F、会对关闭多种安全软件的进程 ACKWIN32.EXE ADVXDWIN.EXE AGENTSVR.EXE ALERTSVC.EXE ALOGSERV.EXE AMON9X.EXE ANTI-TROJAN.EXE ANTIVIRUS.EXE ANTS.EXE APIMONITOR.EXE APLICA32.EXE APVXDWIN.EXE ATCON.EXE ATGUARD.EXE ATRO55EN.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOUPDATE.EXE AVCONSOL.EXE AVE32.EXE AVGCC32.EXE AVGCTRL.EXE AVGNT.EXE AVGSERV.EXE AVGSERV9.EXE AVGUARD.EXE AVGW.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVWIN95.EXE AVWINNT.EXE AVWUPD32.EXE AVWUPSRV.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE AckWin32.EXE AutoTrace.EXE AvSynMgr.AVSYNMGR.EXE AvgServ.EXE Avgctrl.EXE AvkServ.EXE Avsched32.EXE BD_PROFESSIONAL.EXE BIDEF.EXE BIDSERVER.EXE BIPCP.EXE BIPCPEVALSETUP.EXE BISP.EXE BLACKD.EXE BLACKICE.EXE BOOTWARN.EXE BORG2.EXE BS120.EXE BlackICE.EXE CDP.EXE CFGWIZ.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLAW95CF.EXE CLEAN.EXE CLEANER.EXE CLEANER3.EXE CLEANPC.EXE CMGRDIAN.EXE CMON016.EXE CONNECTIONMONITOR.EXE CPD.EXE CPF9X206.EXE CPFNT206.EXE CTRL.EXE CV.EXE CWNB181.EXE CWNTDWMO.EXE Claw95.EXE Claw95cf.EXE DEFWATCH.EXE DEPUTY.EXE DOORS.EXE DPF.EXE DPFSETUP.EXE DRWATSON.EXE DRWEB32.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE EFPEADM.EXE ENT.EXE ESAFE.EXE ESCANH95.EXE ESCANHNT.EXE ESCANV95.EXE ESPWATCH.EXE ETRUSTCIPE.EXE EVPN.EXE EXANTIVIRUS-CNET.EXE EXE.AVXW.EXE EXPERT.EXE F-AGNT95.EXE F-PROT.EXE F-PROT95.EXE F-STOPW.EXE FAST.EXE FINDVIRU.EXE FIREWALL.EXE FLOWPROTECTOR.EXE FP-WIN.EXE FP-WIN_TRIAL.EXE FPROT.EXE FRW.EXE FSAV.EXE FSAV530STBYB.EXE 等等。解决方案 · 请使用杀毒软件2004年06月11日后的病毒库可完全处理该病毒； · 请立即打上系统补丁，并关闭系统中不必要的共享和设置管理密码更强状。 · 在使用P2P软件下载程序时，请通过反病毒软件检测后再使用。 · 手工解决方案如果系统为WinMe或WinXP，则请先关闭系统还原功能。（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能）对于系统是Win9x/WinMe: 步骤一，步骤一，删除病毒主程序请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为C:\\windows），分别输入以下命令，以便删除病毒程序： C:\\windows\\>cd system C:\\windows\\system\\del smsc.exe 完毕后，取出系统软盘，重新引导到Windows系统。如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。步骤二，清除病毒在注册表里添加的项 1、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；在左边的面板中, 双击（按箭头顺序查找，找到后双击）： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run 找到并删除如下项目： "Win32 USB 2 Driver" = "smsc.exe" 2、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；在左边的面板中, 双击（按箭头顺序查找，找到后双击）： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\ 找到并删除如下项目： "Win32 USB 2 Driver" = "smsc.exe" 3、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；在左边的面板中, 双击（按箭头顺序查找，找到后双击）： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run 找到并删除如下项目： "Win32 USB 2 Driver" = "smsc.exe" 关闭注册表编辑器. 对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever 步骤一，使用进程序管里器结束病毒进程右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“smsc.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；步骤二，查找并删除病毒程序通过“我的电脑”或“资源管理器”进入系统目录(Winnt\\system32或windows\\system32)，找到文件"smsc.exe", 将其删除；步骤三，清除病毒在注册表里添加的项参考Win9x/WinMe 将微软的补丁升级完全依次打开，开始菜单→程序→Windows Update；进行系统升级。不要下载或打开不知来源的文件。专家提醒: 1、请及时升级您的杀毒软件到最新。因为病毒随时在产生，杀毒软件的病毒库也会随时升级中，请多关注杀毒软件安全咨询网上的最新病毒公告。 2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害； 3、请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，注意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件； 4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。
随便看	父与子大全集3 父与子大全集:迄今最完整版本父与子的男人旅行父与子给爸爸的亲子教养书父与子冒险书：父亲和儿子共同冒险手册父与子全集·下父与子全集：感天动地父子情父与子全集:彩色纪念版父与子全集双语经典版父与子/全译本世界文学名著典藏父与子完全典藏笨,含卜劳恩画传感天动地父子情父债如山父执父子(AfterThisOurExile) 父子兵父子间的恩仇父子交换行动父子驴友：徒步走长城的户外素质教育笔记父子漫画组合父子情真父子三英豪父子双雄：班超班勇父子塔父子岩父子幽默