当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > “狙击波”防范及杀毒全攻略

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 “狙击波”防范及杀毒全攻略


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 35 ::
收藏到网摘: n/a

这几天网络上最“红”的病毒就是被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波” (Worm.Zotob.A)。

该病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,然后系统开始频繁重启。此外,该病毒还可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制,并且该病毒还会禁止用户更新安全软件。


在微软发布安全公告后短短的5天之内,互联网上就出现了该蠕虫病毒!而到目前为止,该病毒已经出现了超过10个变种!

该病毒最早可能源自欧洲芬兰,之后在欧洲迅速流传。昨天从美国传来消息,美国部分重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成网络瘫痪。不过,该蠕虫病毒目前在中国内地的疫情还比较缓和,并未出现大规模泛滥。原因并不是国内的计算机比国外的要安全性好,据了解,而最主要的还是目前截获的“狙击波”及变种均为国外作者编写,可完全攻击和感染英文版的Windows系统。所以对于中文Windows系统,该病毒虽然可以攻击电脑致使倒计时重启,却不能致使感染。

不过要是当该病毒出现针对中文版Windows的时候,国内的疫情形势就会非常严峻!据有关人士表示,由于Windows2000以及WindowsXP SP1系统用户是该病毒的主要对象,这样的话估计国内有六成电脑用户受到安全威胁!因此,不管你是否已经被该病毒“骚扰”,都应该先做到防范于未然,可不要等到中了病毒再来亡羊补牢。

该病毒呈现以下特征:
  1. 病毒将自身复制到以下目录:%system%\botzor.exe
  2. 在注册表中添加如下键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
  "WINDOWS SYSTEM" = "botzor.exe"
  ——(以在每次启动时运行)
  3. 修改以下服务
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
  "Start" = 0x00000004
  ——(以阻止WinXP自带的防火墙运行)
  4.通过MS05-039进行攻击
  // -=PNP445=- //transfer complete to ip:
  5.病毒会创建以下互斥量,以保证系统只一个进程运行
  B-O-T-Z-O-R
  6.病毒文件中含有以下作者信息
  Botzor2005 By DiablO
  7.病毒会链接
  diabl0.turk*****s.net网站的IRC频道,以接受病毒传播者的控制.
  8. 修改Host文件,屏蔽大量国内外反病毒和安全厂商的网址,并显示:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

如果你的电脑还未中“狙击波” (Worm.Zotob.A)病毒,请:
一,立即下载微软MS05-039的补丁并安装

  •WinXP系统安全更新补丁 (KB899588)

  •Win2000系统安全更新补丁(KB899588)

  •WinXP-64系统安全更新补丁(KB899588)

  •WinServer 2003 系统安全更新补丁(KB899588)

二,升级你的杀毒软件病毒库,并开启病毒实时监控。

如果你的电脑已经不幸中了“狙击波” (Worm.Zotob)病毒,
手动杀毒办法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;
二,在任务管理器里面结束botzor.exe进程
三,运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

  "WINDOWS SYSTEM" = botzor.exe

四,将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
五,结束上述步骤后,接着按照未中病毒的步骤进行——安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。

自动杀毒方法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;

二,使用各病毒厂商发布的“狙击波” (Worm.Zotob.A)病毒专杀工具查杀病毒。

诺顿狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/nd.zip
赛门铁克公司发布的狙击波病毒专杀工具。这个是8月18日刚发布的1.40版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。

瑞星狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/rx.zip
瑞星公司发布的