搜狐首页-新闻-体育-娱乐-财经-IT-汽车-房产-家居-女人-TV-ChinaRen-邮件-博客-BBS-搜狗 
史上最快利用微软漏洞病毒“狙击波”防杀攻略
  时间:2005年08月19日09:18   来源:驱动之家   作者:rayHu 我来说两句我来说两句(0)
热点排行 即时新闻通知 进入新闻论坛 相关新闻:
 
这几天网络上最“红”的病毒就是被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波” (Worm.Zotob.A)。

该病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,然后系统开始频繁重启。此外,该病毒还可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制,并且该病毒还会禁止用户更新安全软件。


狙击波,Zotob, 


在微软发布安全公告后短短的5天之内,互联网上就出现了该蠕虫病毒!而到目前为止,该病毒已经出现了超过10个变种!

该病毒最早可能源自欧洲芬兰,之后在欧洲迅速流传。昨天从美国传来消息,美国部分重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成网络瘫痪。不过,该蠕虫病毒目前在中国内地的疫情还比较缓和,并未出现大规模泛滥。原因并不是国内的计算机比国外的要安全性好,据了解,而最主要的还是目前截获的“狙击波”及变种均为国外作者编写,可完全攻击和感染英文版的Windows系统。所以对于中文Windows系统,该病毒虽然可以攻击电脑致使倒计时重启,却不能致使感染。

不过要是当该病毒出现针对中文版Windows的时候,国内的疫情形势就会非常严峻!据有关人士表示,由于Windows2000以及WindowsXP SP1系统用户是该病毒的主要对象,这样的话估计国内有六成电脑用户受到安全威胁!因此,不管你是否已经被该病毒“骚扰”,都应该先做到防范于未然,可不要等到中了病毒再来亡羊补牢。

该病毒呈现以下特征:
  1. 病毒将自身复制到以下目录:%system%\botzor.exe
  2. 在注册表中添加如下键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
  "WINDOWS SYSTEM" = "botzor.exe"
  ——(以在每次启动时运行)
  3. 修改以下服务
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
  "Start" = 0x00000004
  ——(以阻止WinXP自带的防火墙运行)
  4.通过MS05-039进行攻击
  // -=PNP445=- //transfer complete to ip:
  5.病毒会创建以下互斥量,以保证系统只一个进程运行
  B-O-T-Z-O-R
  6.病毒文件中含有以下作者信息
  Botzor2005 By DiablO
  7.病毒会链接
  diabl0.turk*****s.net网站的IRC频道,以接受病毒传播者的控制.
  8. 修改Host文件,屏蔽大量国内外反病毒和安全厂商的网址,并显示:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

如果你的电脑还未中“狙击波” (Worm.Zotob.A)病毒,请:
一,立即下载微软MS05-039的补丁并安装

  •WinXP系统安全更新补丁 (KB899588)

  •Win2000系统安全更新补丁(KB899588)

  •WinXP-64系统安全更新补丁(KB899588)

  •WinServer 2003 系统安全更新补丁(KB899588)

二,升级你的杀毒软件病毒库,并开启病毒实时监控。

如果你的电脑已经不幸中了“狙击波” (Worm.Zotob)病毒,
手动杀毒办法:

一,在个人防火墙上添加新规则,阻止TCP端口139和445;
二,在任务管理器里面结束botzor.exe进程
三,运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

  "WINDOWS SYSTEM" = botzor.exe

四,将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
五,结束上述步骤后,接着按照未中病毒的步骤进行——安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。

自动杀毒方法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;

二,使用各病毒厂商发布的“狙击波” (Worm.Zotob.A)病毒专杀工具查杀病毒。

诺顿狙击波专杀工具
本地下载地址:https://file2.mydrivers.com/tools/others/nd.zip
赛门铁克公司发布的狙击波病毒专杀工具。这个是8月18日刚发布的1.40版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。

瑞星狙击波专杀工具
本地下载地址:https://file2.mydrivers.com/tools/others/rx.zip
瑞星公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F。

江民狙击波专杀工具
本地下载地址:https://file2.mydrivers.com/tools/others/jm.zip
江民公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

金山狙击波专杀工具
本地下载地址:https://file2.mydrivers.com/tools/others/js.zip
金山公司发布的狙击波病毒专杀工具。这个是8月16日刚发布的3.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

三,安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。   

(责任编辑:关美纳)


页面功能   【我来说两句】 【热点排行】 【推荐】 【字体:  】 【打印】  【关闭

 ■ 相关链接




 ■ 我来说两句
用  户:        匿名发出:
请各位遵纪守法并注意语言文明。
 
*经营许可证编号:京ICP00000008号
*《互联网电子公告服务管理规定》
*《全国人大常委会关于维护互联网安全的规定》
手机
包月自写5分钱/条

最新制作 想唱就唱
夏天的味道 哪一站



精品专题推荐:
谁说赚钱难告诉你秘诀
测IQ交朋友,非常速配
就让你笑火暴搞笑到底

短信订阅
焦点新闻魅力贴士伊甸指南魔鬼辞典
公社热图


·[组图]大陆第一美女模特
·[图]这就是人死后世界?
·女星中的九大混血妖姬









搜狐商城
 
·数码|iPod nano¥1799
·I T|1G 微盘特价¥399
·家电|飞利浦耳机特价
·家电|USB音箱5折
·家电|飞利浦耳机特价
更多...
-- 给编辑写信
Copyright © 2017 Sohu.com Inc. All Rights Reserved.搜狐公司 版权所有 全部新闻 全部博文