僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。美国互联网软件安全公司NetWitness2010年2月18日表示，这种新型电脑病毒在过去一年半时间内已入侵全球2500家企业和政府机构的7.5万台电脑，病毒将这些电脑构成了一个庞大而危险的“僵尸网络”，从中窃取大量重要秘密。 这家公司将“僵尸网络”称为“Kneber僵尸网络”。新病毒收集各“僵尸电脑”中的资料，并将之发送给黑客。

简介

病毒运行方式

如何清除病毒

相关事件(事件报道 相关猜测)

100万部门手机变僵尸(感染症状 感染方式 传播特点 变种威胁 传播渠道)

简介

僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸网络(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

病毒运行方式

此病毒有如下特征：连接IRC服务器

1）连接IRC服务器的域名、IP、连接端口情况如下：

域名 IP 端口 所在国家

194.109.11.65 TCP/6556，TCP/1023 荷兰

64.202.167.129 TCP/6556，

TCP/1023 美国

194.109.11.65 TCP/6556，TCP/1023 荷兰

64.202.167.129 TCP/6556，TCP/1023 美国

194.109.11.65 TCP/6556，TCP/1023 荷兰

.无法解析 TCP/6556，TCP/1023

2）连接频道：#26#，密码：g3t0u7。

扫描地址

扫描随机产生的IP地址，并试图感染这些主机；

自身复制

运行后将自身复制到System\etddesrv.exe；

系统保护

在系统中添加名为NetDDE Server的服务，并受系统进程services.exe保护。

如何清除病毒

该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下：

断开网络

恢复注册表

打开注册表编辑器，在左边的面板中打开并删除以下键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minmal\etDDEsrv

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\etDDEsrv

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\etDDEsrv

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Control\\SafeBoot\\Minmal\etDDEsrv

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Control\\SafeBoot\etwork\etDDEsrv

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002\\Services\etDDEsrv

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minmal\etDDEsrv

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\etDDEsrv

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etDDEsrv

需要重新启动计算机

必须删除蠕虫释放的文件

删除在system下的netddesrv.exe文件。（system是系统目录,在win2000下为c:\\winnt\\system32，在winxp下为

c:\\windows\\system32）

杀毒

运行杀毒软件，对电脑系统进行全面的病毒查杀；

安装补丁

安装微软MS04-011、MS04-012、MS04-007漏洞补丁。

相关事件

事件报道

僵尸病毒入侵全球电脑 190国政府企业资料遭窃

美国互联网软件安全公司NetWitness2010年2月18日表示，一种新型电脑病毒在过去一年半时间内已入侵全球2500家企业和政府机构的7.5万台电脑，病毒将这些电脑构成了一个庞大而危险的“僵尸网络”，从中窃取大量重要秘密。 这家公司将“僵尸网络”称为“Kneber僵尸网络”。新病毒收集各“僵尸电脑”中的资料，并将之发送给黑客。这次袭击规模庞大，包括金融机构、能源公司以及美国联邦政府机构在内的全球将近2500家企业以及政府机构被入侵，受影响的电脑达到7.5万部，涉及190多个国家，主要为美国、沙特阿拉伯、埃及、土耳其以及墨西哥等国家的电脑。

相关猜测

由东欧黑帮发动

这次袭击规模庞大，包括金融机构、能源公司以及美国联邦政府机构在内的全球将近2500家企业以及政府机构被入侵，受影响的电脑达到7.5万部，涉及190多个国家，主要为美国、沙特阿拉伯、埃及、土耳其以及墨西哥等国家的电脑。 美国互联网软件安全公司NetWitness表示，属下一名工程师今年1月为一家公司部署互联网监控系统时发现“Kneber僵尸网络”。 经调查，黑客在2008年开始利用东欧的电脑，通过设在德国的指挥中心展开攻击行动，诱使有关企业和政府机构的员工点击有病毒的网站，或者打开附有病毒的电子邮件,从而入侵企业或政府网络。据了解，一旦电脑受病毒感染，便会成为“僵尸网络”的一部分，并通过大量发送感染病毒的电子邮件使更多企业和政府机构的电脑中招。 NetWitness公司总裁约伦曾担任美国国土安全部网络安全主管。他表示，目前看来，新病毒于2008年底开始在德国肆虐，目前也蔓延到不少在中国应用的电脑上。公司目前所收集的证据显示，这一袭击很可能来自东欧的黑帮组织。

100万部门手机变僵尸

感染症状

电影里人被僵尸咬到后也变成僵尸咬人的情节，上演了“手机”版本。昨日，央视《每周质量报告》报道了“手机僵尸”病毒的危害和成因。据悉，在9月的第一周，全国就发现将近一百万部手机感染这种病毒。

北京手机用户王女士发现自己没发短信却被莫名扣费，同时，她的朋友也在深更半夜收到了她发出的广告短信。王女士在手机安全公司检测后发现，她的手机中了“手机僵尸”的病毒。这种病毒能够自动向手机中的联系人发送广告短信，并通过短信进行连续传播，具有很强的攻击性。

感染方式

专业人员发现，手机里一个名为手机保险箱的应用软件中捆绑着一个小插件，其实就是一种手机病毒。中了病毒的手机，首先会将手机的SIM卡标识等配制信息上传到黑客控制的服务器，然后黑客就可以通过服务器下发手机，控制手机随时给任何号码发送任何内容的短信。央视记者了解到，这种病毒具有罕见的攻击性，所发出去的一些短信里面的链接也是藏有病毒的，一旦其他的人收到短信，点击链接，则会被安装上类似的病毒。而且，这部手机又会去攻击别人的手机。

传播特点

从事手机安全研究多年的北邮教授邹仕洪称，这种病毒的传播特点有点像传销组织，一级感染一级，时间越长，被感染和控制的手机也就越多，它呈现指数级爆炸型增长。国家互联网应急中心运行部主任周勇林称，9月的第一周就发现全国将近一百万部手机感染这种病毒。据悉，僵尸手机病毒很难被用户和运营商发觉。

利润10倍。

变种威胁

除了“手机僵尸”病毒，目前，网络上还出现了病毒的变种，这种病毒能够在手机锁定的状态下自动发送信息，很难被用户察觉。同时，越来越多的手机病毒不但能逃过运营商的围追堵截，甚至能够将杀毒软件杀掉。

传播渠道

由于互联网环境开放，很多人可以冒用IP，在论坛上发布带有病毒的软件供人下载，因此要追查病毒的制造者和传播者很难。技术人员发现，在中了“手机僵尸” 病毒的手机发送的短信中，有一大部分是广告短信。据悉，游戏等网站往往把短信宣传交给渠道商来做，而渠道商有可能是这种病毒的元凶。据业内人士介绍，渠道商发送一条短信要花费0.03元至0.05元，而每次一般要发送10万条，这样成本约为3000元，收益大约为6000元。而通过在短信中植入“手机僵尸”病毒，同样花费3000元的成本，发送出的短信通过自动传播，能带来10倍，即6万元的利润。100万部手机每天耗费用户话费约为200万元。