时间:2005年08月19日09:18
来源:驱动之家
作者:rayHu
|
我来说两句()
|
|
|
|
这几天网络上最“红”的病毒就是被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波” (Worm.Zotob.A)。
该病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,然后系统开始频繁重启。此外,该病毒还可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制,并且该病毒还会禁止用户更新安全软件。
在微软发布安全公告后短短的5天之内,互联网上就出现了该蠕虫病毒!而到目前为止,该病毒已经出现了超过10个变种!
该病毒最早可能源自欧洲芬兰,之后在欧洲迅速流传。昨天从美国传来消息,美国部分重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成网络瘫痪。不过,该蠕虫病毒目前在中国内地的疫情还比较缓和,并未出现大规模泛滥。原因并不是国内的计算机比国外的要安全性好,据了解,而最主要的还是目前截获的“狙击波”及变种均为国外作者编写,可完全攻击和感染英文版的Windows系统。所以对于中文Windows系统,该病毒虽然可以攻击电脑致使倒计时重启,却不能致使感染。
不过要是当该病毒出现针对中文版Windows的时候,国内的疫情形势就会非常严峻!据有关人士表示,由于Windows2000以及WindowsXP SP1系统用户是该病毒的主要对象,这样的话估计国内有六成电脑用户受到安全威胁!因此,不管你是否已经被该病毒“骚扰”,都应该先做到防范于未然,可不要等到中了病毒再来亡羊补牢。
该病毒呈现以下特征: 1. 病毒将自身复制到以下目录:%system%\botzor.exe 2. 在注册表中添加如下键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService "WINDOWS SYSTEM" = "botzor.exe" ——(以在每次启动时运行) 3. 修改以下服务 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess "Start" = 0x00000004 ——(以阻止WinXP自带的防火墙运行) 4.通过MS05-039进行攻击 // -=PNP445=- //transfer complete to ip: 5.病毒会创建以下互斥量,以保证系统只一个进程运行 B-O-T-Z-O-R 6.病毒文件中含有以下作者信息 Botzor2005 By DiablO 7.病毒会链接 diabl0.turk*****s.net网站的IRC频道,以接受病毒传播者的控制. 8. 修改Host文件,屏蔽大量国内外反病毒和安全厂商的网址,并显示:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
如果你的电脑还未中“狙击波” (Worm.Zotob.A)病毒,请: 一,立即下载微软MS05-039的补丁并安装
•WinXP系统安全更新补丁 (KB899588)
•Win2000系统安全更新补丁(KB899588)
•WinXP-64系统安全更新补丁(KB899588)
•WinServer 2003 系统安全更新补丁(KB899588)
二,升级你的杀毒软件病毒库,并开启病毒实时监控。
如果你的电脑已经不幸中了“狙击波” (Worm.Zotob)病毒, 手动杀毒办法: 一,在个人防火墙上添加新规则,阻止TCP端口139和445; 二,在任务管理器里面结束botzor.exe进程 三,运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WINDOWS SYSTEM" = botzor.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
四,将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。 五,结束上述步骤后,接着按照未中病毒的步骤进行——安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。
自动杀毒方法: 一,在个人防火墙上添加新规则,阻止TCP端口139和445;
二,使用各病毒厂商发布的“狙击波” (Worm.Zotob.A)病毒专杀工具查杀病毒。
诺顿狙击波专杀工具 本地下载地址:https://file2.mydrivers.com/tools/others/nd.zip 赛门铁克公司发布的狙击波病毒专杀工具。这个是8月18日刚发布的1.40版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。
瑞星狙击波专杀工具 本地下载地址:https://file2.mydrivers.com/tools/others/rx.zip 瑞星公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F。
江民狙击波专杀工具 本地下载地址:https://file2.mydrivers.com/tools/others/jm.zip 江民公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。
金山狙击波专杀工具 本地下载地址:https://file2.mydrivers.com/tools/others/js.zip 金山公司发布的狙击波病毒专杀工具。这个是8月16日刚发布的3.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。
三,安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。 (责任编辑:关美纳)
|
|
|
|
|
|
|
|
|
|
|