“狙擊波”病毒及其變種處理辦法,請廣大用戶注意
該病毒典型症狀:
離關機還有:*秒!
系統處理程式c:\Windows\system32\services.exe意外中止,系統將關機並重啟!
發現日期:2005年8月15日,2006年9月新的變種!
申明:盜版作業系統打補丁引起的系統問題我們概不負責!
該病毒利用了8月9日微軟髮布的即插即用中的漏洞(MS05-039),在微軟髮布安全公告後短短的5天之內即出現該蠕蟲,表明病毒作者利用漏洞的能力越來越强。用戶電腦感染了該病毒之後,在某些情況下會出現系統頻繁重啟的現象。同時,該病毒會在用戶電腦上開設後門,方便駭客對其進行遠程式控制制。
該病毒典型症狀:系統處理程式c:\Windows\system32\services.exe意外中止,系統將關機並重啟! 離關機還有*妙!
一、病毒評估
1.病毒英文名:Worm.Zotob
2.病毒類型:蠕蟲病毒
3.病毒危險等級:★★★☆
4.病毒傳播途徑:網路
5.病毒依賴系統:WIN 2000/XP/2003
二、病毒破壞
1.造成系統頻繁重啟
當病毒攻擊失敗的時候,會造成系統頻繁重啟。病毒攻擊目標系統時,可能造成系統不斷重啟(如圖示),與震蕩波、衝擊波發作的時候類似,只不過在Zotob影響的進程變了,變為系統關鍵進程“Services.exe”
2、給系統開設後門
3、修改系統文件,使用戶的殺毒軟體不能陞級。
三、技術分析
一旦執行,病毒將執行以下操作:
1. 病毒啟動後,會將自己複製到系統目錄中,病毒文件名為“botzor.exe”。
2、在註冊表中添加下列啟動項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WINDOWS SYSTEM" = botzor.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"WINDOWS SYSTEM" = botzor.exe;
3、在感染的時候,病毒利用IP掃描的方式在網路中尋找具有漏洞的系統,發現後就會對系統進行攻擊,連接系統的445端口,並植入系統中一個遠程SHELL,此遠程SHELL釋放一個文件 2PAC.TXT,此文件中包含有一段FTP命令腳本,功能是利用FTP從遠程將病毒文件下載到本地。
4、如果攻擊失敗,則造成系統重啟。
5、修改系統的host文件
阻擊波病毒預防完全處理辦法:
1.安裝防病毒軟體,開啟實時陞級最快速度陞級最新病毒庫防止該病毒的入侵和完全查殺該病毒
http://antivirus...du.cn2:使用個人網防火牆封著系統默認打開的TCP 445端口,切斷病毒入侵的途徑
3:安裝作業系統更新修正檔
阻擊波專殺工具:
ftp://ftp.jnu.edu.cn/PUB1__Softwar...aTool_Zotob.EXE請廣大用戶做好防毒措施,安裝防病毒軟體和作業系統補丁!!!
