[分享]近期常见病毒解决方法
[color=Red][size=6]"灰鸽子"病毒 [/size][/color]病毒特性:
G_Server.exe(即灰鸽子病毒的服务器端)第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务,然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操作)。然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。注意,G_Server.exe这个名称并不固定,它是可以被使用者定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
灰鸽子的手工检测:
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件
[size=6][color=Red]灰鸽子的手工清除[/color][/size]
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
小结
本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。
[[i] 本帖最后由 黎波 于 2005-11-13 23:13 编辑 [/i]] [color=Red][size=6]冲击波(Worm.Blaster)病毒详细解决方案 出处:瑞星公司[/size][/color]警惕程度:★★★★
病毒名称:Worm.Blaster
发作时间:随机
病毒类型:蠕虫病毒
传播途径:网络/RPC漏洞
依赖系统:Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft Windows XP /Microsoft Windows Server 2003
病毒尺寸:6,176 字节
病毒发作现象:
冲击波(Worm.Blaster)病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。
该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象:
病毒详细说明:
1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。
2. 病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。
3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。
4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统时,病毒都会运行。
5. 病毒体内隐藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。
7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。
8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。
9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。
手工清除方案:
一、 DOS环境下清除该病毒:
1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)
2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p
3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe
二、 在安全模式下清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。
给系统打补丁方案:
当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。以下是补丁的具体下载地址:
· Windows 2000 :
[url]http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en[/url] (连接到第三方网站)
· Windows XP 32 位版本 :
[url]http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en[/url] (连接到第三方网站)
[[i] 本帖最后由 黎波 于 2005-11-13 23:14 编辑 [/i]] 震荡波病毒:Worm.Sasser
一、病毒评估
1.病毒中文名:震荡波
2.病毒英文名:Worm.Sasser
3.病毒大小:15,872字节
4.病毒类型:蠕虫病毒
5.病毒危险等级:★★★★★
6.病毒传播途径:网络
7.病毒依赖系统:Windows NT/2000/XP
二.病毒的破坏行为:
1.首先拷贝自身到windows目录,名为%WINDOWS%\avserve.exe(15,872字节),然后登记到自启动项。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe = %WINDOWS%\avserve.exe
2.开辟线程,在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。
3. 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞,该病毒在网络上传播迅速,造成网络瘫痪.中毒的系统运行缓慢,同时系统运行中极有可能出现如定时关机、非法操作等异常。
三、解决方法:
这是一个类似冲击波的病毒,利用微软操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。受感染的操作系统有:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
官方补丁下载:
[url]http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx[/url] Word问题(不能复制粘贴,word文档变成exe文件):
现象:
不能复制粘贴,word文档变成exe文件
查杀方法:
1、结束任务管理器中的EXPLORER.exe,
2、搜索EXPLORER.exe,或者打开c:/winnt(windows)/sysytem32/
3、找到word图标的EXPLORER.exe,删除掉
4、搜索注册表:开始/运行:regedit
查找:explorer,删除键值是C:\\WINNT\\system32\\EXPLORER.exe(在hkcu/soft
ware/microsoft/windows/current version/run里面)
5、检查一下word是不是可以粘贴和复制了
说明:1、运行第二步时可以打开文件夹选项,使系统显示隐藏文件和扩展名,
注意不要删除错了!
2、移动存储设备注意写保护 解决冲击波和震荡波,狙击波病毒给你带来的烦恼。
1.冲击波病毒简介
--------------------------------------------------------------------------------
该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,从而达到传播的目的。受感染的系统向。IRC是比较常用的聊天工具,这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门,等待远端控制者的命令,或是通过IRC进行病毒的升级等操作。
中了冲击波病毒后,系统会出现下面的图片,然后倒记时重起。
冲击波病毒专杀工具:[url]http://it.rising.com.cn/service/technology/RS_blaster.htm[/url]
冲击波病毒winnt系统补丁:[url]http://www.sne.snnu.edu.cn/techsupport/tech_news/ftp/CHSQ823980i.EXE[/url]
冲击波病毒2000系统补丁:[url]http://www.sne.snnu.edu.cn/techsupport/tech_news/ftp/Windows2000-KB823980-x86-CHS.exe[/url]
冲击波病毒XP系统补丁:[url]http://www.sne.snnu.edu.cn/techsupport/tech_news/ftp/WindowsXP-KB823980-x86-CHS.exe[/url]
冲击波2003系统补丁:[url]http://www.sne.snnu.edu.cn/techsupport/tech_news/ftp/WindowsServer2003-KB823980-x86-CHS.exe[/url]
“震荡波”蠕虫病毒简介
震荡波(Worm.Sasser)”开始在互联网肆虐。该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其破坏程度有可能超过“冲击波”……
莫名其妙地死机或重新启动计算机;
·任务管理器里有一个叫"avserve.exe"、"avserve2.exe"或者"skynetave.exe"的进程在运行;
·在系统目录下,产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件;
·最系统速度极慢,CPU占用100%。
中了震荡波病毒后,系统会出现下面的图片,然后倒记时重起。
震荡波病毒专杀工具:[url]http://it.rising.com.cn/service/technology/RS_sasser.htm[/url]
金山震荡波专用防火墙,软件很小,效果也很好,不错哦:
[url]http://download.duba.net/download/othertools/DB_AntiSasser.rar[/url]
震荡波winnt4.0补丁:[url]http://soft.fbook.net/SoftView.asp?SoftID=744[/url]
震荡波win2000补丁下载:[url]http://www.wl98.com/Soft_Show.asp?SoftID=268[/url]
震荡波winxp补丁下载:[url]http://www.wl98.com/Soft_Show.asp?SoftID=269[/url]
震荡波win2003补丁下载:[url]http://www.wl98.com/Soft_Show.asp?SoftID=270[/url]
[color=Red][size=6]病毒“Zotob”(狙击波)最新发展情况及解决方案[/size][/color]
请论坛会员立刻下载并打上相关的补丁,以免出现中毒情况.
手工清除病毒方法:
手动杀毒办法:
1、 在任务管理器里面结束botzor.exe进程
2、 运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"WINDOWS SYSTEM" = botzor.exe
3、将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
[color=Red][size=6]专杀工具下载:[url]http://bbs.cfanclub.net/viewfile.asp?ID=156383[/url][/size][/color]
8月15日,金山反病毒应急处理中心截获一个针对微软系统严重漏洞进行主动攻击的病毒,并命名为Zotob(Worm.Zotob.A)。金山的反病毒专家说,Zotob病毒利用漏洞主动传播,对于个人电脑的危害非常大,其危害程度与当年的震荡波相似,一旦被攻击,用户的电脑将会出现不断重启、系统不稳定等情况。病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀!
Zotob利用5天前微软刚刚公布的严重系统漏洞,Windows Plug and Play 服务漏洞 (MS05-039), 攻击TCP端口445,和冲击波、震荡波方法类似,攻击代码向目标系统的445端口发送漏洞代码,使目标系统造成缓冲区溢出,同时运行病毒代码,进行传播。
病毒攻击目标系统时,可能造成系统不断重启(如图示),与震荡波、冲击波发作的时候类似,只不过在Zotob影响的进程变了,变为系统关键进程“Service.exe”, Zotob其实是Mytob的最新变种。Mytob是前一阵大肆泛滥的邮件病毒。此次变种,更是加入了5天前才公布漏洞补丁的系统严重漏洞(Windows Plug and Play 服务漏洞 (MS05-039) )进行主动攻击,使其大大提高了病毒传播的广度。因此,Zotob除了利用漏洞攻击外,还具有邮件传播、自动下载新病毒等等这些与邮件病毒所具有的危害,使中毒用户遭受打击。
病毒运行后,将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "WINDOWS SYSTEM" = botzor.exe
这样,在Windows启动时,病毒就可以自动执行。
“极速波”病毒通过TCP端口8080连接IRC服务器,接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在TCP端口33333开启FTP服务,提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(MS05-039)进行传播。如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。 ?t咊
该病毒的危害还在于,病毒会修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战:第一个发现的反病毒软件 将在24小时内遭到“剿杀”。(MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)
关于MS05-039:
Microsoft Windows即插即用缓冲区溢出漏洞(MS05-039)
影响系统:
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1?
Microsoft Windows Server 2003
Microsoft Windows 2000SP4
Microsoft Windows即插即用(PnP)功能允许操作系统在安装新硬件时能够检测到这些设备。
Microsoft Windows即插即用功能中存在缓冲区溢出漏洞,成功利用这个漏洞的攻击者可以完全控制受影响的系统。
起因是PnP服务处理包含有过多数据的畸形消息的方式。在Windows 2000上,匿名用户可以通过发送特制消息来利用这个漏洞;在Windows XP Service Pack 1上,只有通过认证的用户才能发送恶意消息;在Windows XP Service Pack 2和Windows Server 2003上,攻击者必需本地登陆到系统然后运行特制的应用程序才能利用这个漏洞。
该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动!
注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!
提醒大家升级杀毒软件,及时打好系统补丁
该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动!
注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!
先锋提醒大家升级杀毒软件,及时打好系统补丁
厂商补丁:
Microsoft
Microsoft已经为此发布了一个安全公告(MS05-039)以及相应补丁:
MS05-039:Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
链接:[url]http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx?pf=true[/url]
补丁下载:
Microsoft Windows 2000 Service Pack 4 – 下载更新:
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F[/url]
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2 – 下载更新:
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=9A3BFBDD-62EA-4DB2-88D2-415E095E207F[/url]
病毒分析报告.
病毒评估
1.病毒英文名:Worm.Zotob
2.病毒类型:蠕虫病毒 谢谢楼主发帖分享,辛苦了,支持!!
页:
[1]
