当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > “狙击波”防范及杀毒全攻略

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 “狙击波”防范及杀毒全攻略


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 101 ::
收藏到网摘: n/a

这几天网络上最“红”的病毒就是被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波” (Worm.Zotob.A)。

该病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,然后系统开始频繁重启。此外,该病毒还可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制,并且该病毒还会禁止用户更新安全软件。


在微软发布安全公告后短短的5天之内,互联网上就出现了该蠕虫病毒!而到目前为止,该病毒已经出现了超过10个变种!

该病毒最早可能源自欧洲芬兰,之后在欧洲迅速流传。昨天从美国传来消息,美国部分重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成网络瘫痪。不过,该蠕虫病毒目前在中国内地的疫情还比较缓和,并未出现大规模泛滥。原因并不是国内的计算机比国外的要安全性好,据了解,而最主要的还是目前截获的“狙击波”及变种均为国外作者编写,可完全攻击和感染英文版的Windows系统。所以对于中文Windows系统,该病毒虽然可以攻击电脑致使倒计时重启,却不能致使感染。

不过要是当该病毒出现针对中文版Windows的时候,国内的疫情形势就会非常严峻!据有关人士表示,由于Windows2000以及WindowsXP SP1系统用户是该病毒的主要对象,这样的话估计国内有六成电脑用户受到安全威胁!因此,不管你是否已经被该病毒“骚扰”,都应该先做到防范于未然,可不要等到中了病毒再来亡羊补牢。

该病毒呈现以下特征:
  1. 病毒将自身复制到以下目录:%system%\botzor.exe
  2. 在注册表中添加如下键值:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
  "WINDOWS SYSTEM" = "botzor.exe"
  ——(以在每次启动时运行)
  3. 修改以下服务
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
  "Start" = 0x00000004
  ——(以阻止WinXP自带的防火墙运行)
  4.通过MS05-039进行攻击
  // -=PNP445=- //transfer complete to ip:
  5.病毒会创建以下互斥量,以保证系统只一个进程运行
  B-O-T-Z-O-R
  6.病毒文件中含有以下作者信息
  Botzor2005 By DiablO
  7.病毒会链接
  diabl0.turk*****s.net网站的IRC频道,以接受病毒传播者的控制.
  8. 修改Host文件,屏蔽大量国内外反病毒和安全厂商的网址,并显示:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

如果你的电脑还未中“狙击波” (Worm.Zotob.A)病毒,请:
一,立即下载微软MS05-039的补丁并安装

  •WinXP系统安全更新补丁 (KB899588)

  •Win2000系统安全更新补丁(KB899588)

  •WinXP-64系统安全更新补丁(KB899588)

  •WinServer 2003 系统安全更新补丁(KB899588)

二,升级你的杀毒软件病毒库,并开启病毒实时监控。

如果你的电脑已经不幸中了“狙击波” (Worm.Zotob)病毒,
手动杀毒办法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;
二,在任务管理器里面结束botzor.exe进程
三,运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

  "WINDOWS SYSTEM" = botzor.exe

四,将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
五,结束上述步骤后,接着按照未中病毒的步骤进行——安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。

自动杀毒方法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;

二,使用各病毒厂商发布的“狙击波” (Worm.Zotob.A)病毒专杀工具查杀病毒。

诺顿狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/nd.zip
赛门铁克公司发布的狙击波病毒专杀工具。这个是8月18日刚发布的1.40版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。

瑞星狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/rx.zip
瑞星公司发布的