当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > “狙击波”防范及杀毒全攻略

安全基础
黑客攻击行为的特征分析及反攻击技术
Windows 2000中隐患重重的十大“服务”
网页脚本攻击防范全攻略
防患于未然 轻松做好Windows 2000安全策略
用注册表为操作系统砌九堵安全墙
完善网站程序 脚本攻击防范策略完全篇
两步修改XP远程管理默认端口可防止入侵
消除Windows XP自身的安全隐患
保护Windows不受恶意代码攻击
如何关闭和限制电脑不用的端口
修改Windows 2000远程终端默认端口
操作系统被入侵后的修复过程
利用微软基准安全分析器打造你安全的系统
数字签名技术简介
检测和删除系统中的木马
QQ密码破解程序
P2P中保障Windows网络安全
在代码中查找安全性缺陷的专家提示
QQ安全的三大纪律八项注意
如何保证文件夹的绝对安全

安全基础 中的 “狙击波”防范及杀毒全攻略


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 79 ::
收藏到网摘: n/a

这几天网络上最“红”的病毒就是被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波” (Worm.Zotob.A)。

该病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,然后系统开始频繁重启。此外,该病毒还可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制,并且该病毒还会禁止用户更新安全软件。


在微软发布安全公告后短短的5天之内,互联网上就出现了该蠕虫病毒!而到目前为止,该病毒已经出现了超过10个变种!

该病毒最早可能源自欧洲芬兰,之后在欧洲迅速流传。昨天从美国传来消息,美国部分重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成网络瘫痪。不过,该蠕虫病毒目前在中国内地的疫情还比较缓和,并未出现大规模泛滥。原因并不是国内的计算机比国外的要安全性好,据了解,而最主要的还是目前截获的“狙击波”及变种均为国外作者编写,可完全攻击和感染英文版的Windows系统。所以对于中文Windows系统,该病毒虽然可以攻击电脑致使倒计时重启,却不能致使感染。

不过要是当该病毒出现针对中文版Windows的时候,国内的疫情形势就会非常严峻!据有关人士表示,由于Windows2000以及WindowsXP SP1系统用户是该病毒的主要对象,这样的话估计国内有六成电脑用户受到安全威胁!因此,不管你是否已经被该病毒“骚扰”,都应该先做到防范于未然,可不要等到中了病毒再来亡羊补牢。

该病毒呈现以下特征:
  1. 病毒将自身复制到以下目录:%system%\botzor.exe
  2. 在注册表中添加如下键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
  "WINDOWS SYSTEM" = "botzor.exe"
  ——(以在每次启动时运行)
  3. 修改以下服务
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
  "Start" = 0x00000004
  ——(以阻止WinXP自带的防火墙运行)
  4.通过MS05-039进行攻击
  // -=PNP445=- //transfer complete to ip:
  5.病毒会创建以下互斥量,以保证系统只一个进程运行
  B-O-T-Z-O-R
  6.病毒文件中含有以下作者信息
  Botzor2005 By DiablO
  7.病毒会链接
  diabl0.turk*****s.net网站的IRC频道,以接受病毒传播者的控制.
  8. 修改Host文件,屏蔽大量国内外反病毒和安全厂商的网址,并显示:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

如果你的电脑还未中“狙击波” (Worm.Zotob.A)病毒,请:
一,立即下载微软MS05-039的补丁并安装

  •WinXP系统安全更新补丁 (KB899588)

  •Win2000系统安全更新补丁(KB899588)

  •WinXP-64系统安全更新补丁(KB899588)

  •WinServer 2003 系统安全更新补丁(KB899588)

二,升级你的杀毒软件病毒库,并开启病毒实时监控。

如果你的电脑已经不幸中了“狙击波” (Worm.Zotob)病毒,
手动杀毒办法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;
二,在任务管理器里面结束botzor.exe进程
三,运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

  "WINDOWS SYSTEM" = botzor.exe

四,将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
五,结束上述步骤后,接着按照未中病毒的步骤进行——安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。

自动杀毒方法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;

二,使用各病毒厂商发布的“狙击波” (Worm.Zotob.A)病毒专杀工具查杀病毒。

诺顿狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/nd.zip
赛门铁克公司发布的狙击波病毒专杀工具。这个是8月18日刚发布的1.40版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。

瑞星狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/rx.zip
瑞星公司发布的