“狙击波”病毒预防及处理办法

最新推荐文章于 2018-01-18 17:28:01 发布

singfly

最新推荐文章于 2018-01-18 17:28:01 发布

阅读量1.2k

点赞数

文章标签：杀毒软件 windows system shell 防火墙微软

本文链接：https://blog.csdn.net/singfly/article/details/498589

版权

该病毒典型症状：
离关机还有：*秒！
系统处理程序c:/Windows/system32/services.exe意外中止，系统将关机并重启！

发现日期：2005年8月15日

该病毒利用了8月9日微软发布的即插即用中的漏洞（MS05-039），在微软发布安全公告后短短的5天之内即出现该蠕虫，表明病毒作者利用漏洞的能力越来越强。用户电脑感染了该病毒之后，在某些情况下会出现系统频繁重启的现象。同时，该病毒会在用户电脑上开设后门，方便黑客对其进行远程控制。
该病毒典型症状：系统处理程序c:/Windows/system32/services.exe意外中止，系统将关机并重启！离关机还有*妙！

一、病毒评估

1．病毒英文名：Worm.Zotob
2．病毒类型：蠕虫病毒
3．病毒危险等级：★★★☆
4．病毒传播途径：网络
5．病毒依赖系统：WIN 2000/XP/2003

二、病毒破坏

1．造成系统频繁重启
当病毒攻击失败的时候，会造成系统频繁重启。病毒攻击目标系统时，可能造成系统不断重启（如图示），与震荡波、冲击波发作的时候类似，只不过在Zotob影响的进程变了，变为系统关键进程“Services.exe”

2、给系统开设后门

3、修改系统文件，使用户的杀毒软件不能升级。

三、技术分析

一旦执行,病毒将执行以下操作:

1. 病毒启动后，会将自己复制到系统目录中，病毒文件名为“botzor.exe”。

2、在注册表中添加下列启动项：

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/Run
"WINDOWS SYSTEM" = botzor.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/RunServices
"WINDOWS SYSTEM" = botzor.exe;
3、在感染的时候，病毒利用IP扫描的方式在网络中寻找具有漏洞的系统，发现后就会对系统进行攻击，连接系统的445端口，并植入系统中一个远程SHELL，此远程SHELL释放一个文件 2PAC.TXT，此文件中包含有一段FTP命令脚本，功能是利用FTP从远程将病毒文件下载到本地。

4、如果攻击失败，则造成系统重启。

5、修改系统的host文件，添加如下内容：

Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
造成用户不能访问上述网站，使相关杀毒软件不能升级。

阻击波病毒预防完全处理办法：

1.安装防病毒软件，开启实时升级最快速度升级最新病毒库防止该病毒的入侵和完全查杀该病毒

2：使用个人网防火墙封着系统默认打开的TCP 445端口，切断病毒入侵的途径

3：安装操作系统补丁
win2000系统补丁：
ftp://ftp.jnu.edu.cn/PUB1__Software/Virus/zjb/Windows2000-KB899588-x86-CHS.EXE

winxp系统补丁：
ftp://ftp.jnu.edu.cn/PUB1__Software/Virus/zjb/WindowsXP-KB899588-x86-CHS.exe

win2003系统补丁：
ftp://ftp.jnu.edu.cn/PUB1__Software/Virus/zjb/WindowsServer2003-KB899588-x86-CHS.exe

阻击波专杀工具：
ftp://ftp.jnu.edu.cn/PUB1__Software/Virus/zjb/DubaTool_Zotob.EXE

singfly

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
“狙击波”病毒预防及处理办法

该病毒典型症状：离关机还有：*秒！系统处理程序c:/Windows/system32/services.exe意外中止，系统将关机并重启！发现日期：2005年8月15日该病毒利用了8月9日微软发布的即插即用中的漏洞（MS05-039），在微软发布安全公告后短短的5天之内即出现该蠕虫，表明病毒作者利用漏洞的能力越来越强。用户电脑感染了该病毒之后，在某些情况下会出现系统频繁重启的现象。同时，该
复制链接

扫一扫