|
最近一些学生反映自己的机器忽然出现倒计时关机,开始我以为是中了冲击波,不过接二连三的有这种情况发生,今天一查资料才知道是ms05039的漏洞利用病毒,于是便收集了一些相关的资料给大家希望再次遇到这种情况可以有办法进行查杀!当出你的机器出现下图时:
这证明你是中了狙击波病毒,请立即在开始运行里输入 shutdown.exe -a来取消关机,需要xp以上带有命令。
下面是一些收集的一些查杀手法,希望对大家有一定的作用:
一、自动杀毒:及时下载安装漏洞补丁,升级杀毒软件病毒库,开启病毒实时监控,特别木马/注册表监视,即可确保不受该病毒侵害。
二、手动杀毒办法:
1、在任务管理器里面结束botzor.exe进程
2、运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
3、将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
为避免该病毒造成类似“冲击波”、“震荡波”的危害,金山毒霸反病毒专家教你三招严防此病毒的入侵:
1. 安装毒霸,开启实时升级,最快速度升级最新病毒库防止该病毒的入侵和完全查杀该病毒;
2. 使用个人网防火墙封堵系统默认打开的TCP 445端口,切断病毒入侵的途径;
图例为金山网镖的封堵方法:
1) 打开金山网镖“配置选项”
2) 选择“高级”标签
3) 点击“添加”按钮,添加禁用TCP 445端口的规则
4) 完成设置,点“确定”退出
3、使用金山毒霸漏洞扫描或Windows Update打上最新补丁。微软五天前发布的补中,公告号为MS05-039的补丁及为修补该漏洞的最新补丁,打上最新补丁可保证系统免受病毒入侵。
金山反病毒专家提醒用户,此类病毒以变种多且快而著名,传播广度极大。金山反病毒中心紧急进行了病毒库升级,可以对此病毒进行查杀,请升级金山毒霸到最新版本,也可登陆
http://db.kingsoft.com
进行免费在线查杀。
利用MS05-039漏洞传播的蠕虫公告!
现在一个被命名为Zotob的蠕虫病毒已经在15日早些时候开始被发布,并且造成了一些影响,但由于该蠕虫的溢出代码存在缺陷,部分有MS05-039漏洞的系统在被攻击时会不断重新启动,无法正常运行。这个蠕虫不会感染或者影响到Win95/98/Me/NT系统,但是有可能在这些系统上运行去感染其他的系统。该蠕虫的很多手法冰窖内容Mytob,由于被该蠕虫影响的系统在hosts文件上对几个大型电子商务网站作了手脚,并且受控制于IRC服务器,以及可能有update功能,因此,可能会有攻击者进行Phishing攻击影响,盗窃相关机密信息,比如信用卡资料(目前未证实)。
这个蠕虫通过对MS05-039描述的漏洞进行攻击,有关该漏洞的详细信息请参考:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
该蠕虫特征:
1、在系统上创建一个名为B-O-T-Z-O-R的互斥体以确保只有1个感染的蠕虫在运行
2、复制自身到以下位置:
%System%\csm.exe
3、修改下面的注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在这两项下添加键值:"csm Win Updates" = "csm.exe",以便能够在系统启动时执行。
4、修改下面的键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
设置为4,禁止Win2000/XP的共享访问服务
5、通过TCP8080端口连接到IRC服务器wait.atillaekici.net
6、在TCP33333端口开启一个FTP服务
7、产生随机IP地址,并试图进行扫描感染这些地址的主机,通过利用即插即用服务(Plug and Play )漏洞(MS05-039),蠕虫会在目标系统上打开TCP8888端口的后门,并进行感染
8、复制%System%\2pac.txt文件到新感染的系统上,并执行其中的FTP脚本
9、通过开启的FTP服务,下载%System%\haha.exe文件并在新目标上执行
10、增加下面内容到hosts文件,会导致无法通过域名访问或者更新病毒库;
.... Made By .... Greetz to good friend [REMOVED] in the next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
解决办法:
1、获得相应系统的最新的微软补丁,下载地址:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
由于蠕虫修改了hosts文件,可通过其他系统获得补丁,或者直接将hosts文件中新增加的上述内容删除。
2、删除上述注册表被增加内容,以及相应增加的文件。
3、在防火墙或者IP安全策略上BLOCK以下端口:
TCP 139/445
TCP 8080
TCP 3333
| 
