词条 | asn2.exe |
释义 | 基本信息病毒类型】Worm 【影响系统】 设有弱口令的网络共享且有RPC/DCOM (MS04-012), LSASS (MS04-011)、IIS5SSL (MS04-011) 漏洞的Windows系统;Unix、NetWare、DOS、OS/2、Macintosh Computers、OpenVMS。 【危险等级】偏高 【特点概述】 (1) 扫描网内其它有此漏洞的电脑。 (2) 开启本地FTP或WEB服务,以便为自己提供网络连接。 (3) 通过DCC或HTTP传播病毒体。 (4) 扫描本地磁盘。 (5) 列出或终止当前系统服务,进程或线程。 (6) 发起SYN,PING、UDP、TCP或ICMP洪水攻击。 (7) 将已感染的电脑作为“肉鸡”。 (8) 开启SOCKS4代理服务。 (9) 重定向TCP连接。 (10) 运行identd服务。 (11) 连接其它IRC服务器或端口。 (12) 执行任意命令。 (13) 开启command-shell 服务。 (14) 伪造寄件人的E-mail地址,发送大量E-mail,阻塞网络。 (15) 远程攻击者可通过IRC信道控制感染系统。 (16) 监控屏幕动作。 (17) 自动连接事先设置好的IRC服务器,等待服务器发送控制指令。 发作原理W32/Rbot-QI是一个具有后门功能的IRC网络蠕虫病毒。感染设有弱口令的网络共享且有RPC/DCOM (MS04-012), LSASS (MS04-011)、IIS5SSL (MS04-011) 漏洞的Windows系统。W32/Rbot-QI一进入系统时,就会扫描硬盘,判断当前系统是否已感染。若有,则取消感染,否则,将“wuacrlt.exe”复制至系统目录中,并修改下列注册表项,以在系统启动时获得运行的机会。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ *windows update = "wuacrlt.exe" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\ *windows update = "wuacrlt.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ *windows update = "wuacrlt.exe" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\ *windows update = "wuacrlt.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\ *windows update = "wuacrlt.exe" (注意:病毒进程“wuacrlt.exe”与Windows 自动更新应用程序“wuauclt.exe”很相似,要细心区分啊!!!) 故障及排除常见故障W32/Rbot-QI发作时,系统就会呈现出病毒特点现象。常见现象有: (A)造成网络阻塞,无法上网及访问LAN内共享资源。 (B)电脑一接入网络就死机,断开又恢复正常,通过“任务管理”查看到“wuacrlt.exe”占用大量内存,CPU使用率居高不下。 清除方法当系统有上述故障时,很有可能是已中毒。目前,国内部分杀毒软件并不能查杀,用户可以通过手工删除方法清除病毒,详细方法如下: <1> 请打上RPC/DCOM (MS04-012), LSASS (MS04-011)和IIS5SSL (MS04-011)补丁。 <2> 然后请进入安全模式,查看任务管理中进程“wuacrlt.exe”有无运行,若有则终止,随后再删除下列注册表项中的相关值。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ *windows update = "wuacrlt.exe" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\ *windows update = "wuacrlt.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ *windows update = "wuacrlt.exe" HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\ *windows update = "wuacrlt.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\ *windows update = "wuacrlt.exe" <3> 删除系统目录下的“wuacrlt.exe”。 <4> 搜索其它盘中是否还有“wuacrlt.exe”,有则删。 <5> 重启系统至正常启动模式,即可。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。