这几天网络上最“红”的病毒就是被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波” (Worm.Zotob.A)。
该病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,然后系统开始频繁重启。此外,该病毒还可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制,并且该病毒还会禁止用户更新安全软件。
在微软发布安全公告后短短的5天之内,互联网上就出现了该蠕虫病毒!而到目前为止,该病毒已经出现了超过10个变种!
该病毒最早可能源自欧洲芬兰,之后在欧洲迅速流传。昨天从美国传来消息,美国部分重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成网络瘫痪。不过,该蠕虫病毒目前在中国内地的疫情还比较缓和,并未出现大规模泛滥。原因并不是国内的计算机比国外的要安全性好,据了解,而最主要的还是目前截获的“狙击波”及变种均为国外作者编写,可完全攻击和感染英文版的Windows系统。所以对于中文Windows系统,该病毒虽然可以攻击电脑致使倒计时重启,却不能致使感染。
不过要是当该病毒出现针对中文版Windows的时候,国内的疫情形势就会非常严峻!据有关人士表示,由于Windows2000以及WindowsXP SP1系统用户是该病毒的主要对象,这样的话估计国内有六成电脑用户受到安全威胁!因此,不管你是否已经被该病毒“骚扰”,都应该先做到防范于未然,可不要等到中了病毒再来亡羊补牢。
该病毒呈现以下特征:
1. 病毒将自身复制到以下目录:%system%\botzor.exe
2. 在注册表中添加如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "botzor.exe"
——(以在每次启动时运行)
3. 修改以下服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
——(以阻止WinXP自带的防火墙运行)
4.通过MS05-039进行攻击
// -=PNP445=- //transfer complete to ip:
5.病毒会创建以下互斥量,以保证系统只一个进程运行
B-O-T-Z-O-R
6.病毒文件中含有以下作者信息
Botzor2005 By DiablO
7.病毒会链接
diabl0.turk*****s.net网站的IRC频道,以接受病毒传播者的控制.
8. 修改Host文件,屏蔽大量国内外反病毒和安全厂商的网址,并显示:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
如果你的电脑还未中“狙击波” (Worm.Zotob.A)病毒,请:
一,立即下载微软MS05-039的补丁并安装
•WinServer 2003 系统安全更新补丁(KB899588)
二,升级你的杀毒软件病毒库,并开启病毒实时监控。
如果你的电脑已经不幸中了“狙击波” (Worm.Zotob)病毒,
手动杀毒办法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;
二,在任务管理器里面结束botzor.exe进程
三,运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
四,将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
五,结束上述步骤后,接着按照未中病毒的步骤进行——安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。
自动杀毒方法:
一,在个人防火墙上添加新规则,阻止TCP端口139和445;
二,使用各病毒厂商发布的“狙击波” (Worm.Zotob.A)病毒专杀工具查杀病毒。
诺顿狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/nd.zip
赛门铁克公司发布的狙击波病毒专杀工具。这个是8月18日刚发布的1.40版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。
瑞星狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/rx.zip
瑞星公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F。
江民狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/jm.zip
江民公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。
金山狙击波专杀工具
本地下载地址:http://file2.mydrivers.com/tools/others/js.zip
金山公司发布的狙击波病毒专杀工具。这个是8月16日刚发布的3.0版,可清除“狙击波”病毒及其变种:W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。
三,安装微软MS05-039的补丁,升级你的杀毒软件病毒库,并开启病毒实时监控即可。
