狙击波”防范及杀毒全攻略

yjh_920

这几天网络上最“红”的病毒就是被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波” (Worm.Zotob.A)。

[upload=jpg]UploadFile/2005-8/20058209445731.jpg[/upload]






该病毒利用了8月9日微软发布的即插即用中的漏洞（MS05-039），病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包，如果攻击失败，受攻击的机器会发生崩溃，出现倒计时对话框，然后系统开始频繁重启。此外，该病毒还可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制，并且该病毒还会禁止用户更新安全软件。



在微软发布安全公告后短短的5天之内，互联网上就出现了该蠕虫病毒！而到目前为止，该病毒已经出现了超过10个变种！

该病毒最早可能源自欧洲芬兰，之后在欧洲迅速流传。昨天从美国传来消息，美国部分重要企业和政府机构遭受此次蠕虫狂潮的袭击，并造成网络瘫痪。不过，该蠕虫病毒目前在中国内地的疫情还比较缓和，并未出现大规模泛滥。原因并不是国内的计算机比国外的要安全性好，据了解，而最主要的还是目前截获的“狙击波”及变种均为国外作者编写，可完全攻击和感染英文版的Windows系统。所以对于中文Windows系统，该病毒虽然可以攻击电脑致使倒计时重启，却不能致使感染。

不过要是当该病毒出现针对中文版Windows的时候，国内的疫情形势就会非常严峻！据有关人士表示，由于Windows2000以及WindowsXP SP1系统用户是该病毒的主要对象，这样的话估计国内有六成电脑用户受到安全威胁！因此，不管你是否已经被该病毒“骚扰”，都应该先做到防范于未然，可不要等到中了病毒再来亡羊补牢。

该病毒呈现以下特征：
　　1. 病毒将自身复制到以下目录：%system%\botzor.exe
　　2. 在注册表中添加如下键值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
　　"WINDOWS SYSTEM" = "botzor.exe"
　　——（以在每次启动时运行）
　　3. 修改以下服务
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
　　"Start" = 0x00000004
　　——（以阻止WinXP自带的防火墙运行）
　　4.通过MS05-039进行攻击
　　// -=PNP445=- //transfer complete to ip:
　　5.病毒会创建以下互斥量,以保证系统只一个进程运行
　　B-O-T-Z-O-R
　　6.病毒文件中含有以下作者信息
　　Botzor2005 By DiablO
　　7.病毒会链接
　　diabl0.turk*****s.net网站的IRC频道,以接受病毒传播者的控制.
　　8. 修改Host文件，屏蔽大量国内外反病毒和安全厂商的网址，并显示：MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

如果你的电脑还未中“狙击波” (Worm.Zotob.A)病毒，请：
一，立即下载微软MS05-039的补丁并安装

　　•WinXP系统安全更新补丁 (KB899588)

　　•Win2000系统安全更新补丁(KB899588)

　　•WinXP-64系统安全更新补丁(KB899588)

　　•WinServer 2003 系统安全更新补丁(KB899588)

二，升级你的杀毒软件病毒库，并开启病毒实时监控。

如果你的电脑已经不幸中了“狙击波” (Worm.Zotob)病毒，
手动杀毒办法：
一，在个人防火墙上添加新规则，阻止TCP端口139和445；
二，在任务管理器里面结束botzor.exe进程
三，运行REGEDIT，打开注册表编辑器，删除病毒在注册表中添加的启动项
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

　　"WINDOWS SYSTEM" = botzor.exe

四，将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
五，结束上述步骤后，接着按照未中病毒的步骤进行——安装微软MS05-039的补丁，升级你的杀毒软件病毒库，并开启病毒实时监控即可。

自动杀毒方法：
一，在个人防火墙上添加新规则，阻止TCP端口139和445；

二，使用各病毒厂商发布的“狙击波” (Worm.Zotob.A)病毒专杀工具查杀病毒。

诺顿狙击波专杀工具
本地下载地址：http://file2.mydrivers.com/tools/others/nd.zip
赛门铁克公司发布的狙击波病毒专杀工具。这个是8月18日刚发布的1.40版，可清除“狙击波”病毒及其变种：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。

瑞星狙击波专杀工具
本地下载地址：http://file2.mydrivers.com/tools/others/rx.zip
瑞星公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版，可清除“狙击波”病毒及其变种：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F。

江民狙击波专杀工具
本地下载地址：http://file2.mydrivers.com/tools/others/jm.zip
江民公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版，可清除“狙击波”病毒及其变种：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

金山狙击波专杀工具
本地下载地址：http://file2.mydrivers.com/tools/others/js.zip
金山公司发布的狙击波病毒专杀工具。这个是8月16日刚发布的3.0版，可清除“狙击波”病毒及其变种：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

三，安装微软MS05-039的补丁，升级你的杀毒软件病毒库，并开启病毒实时监控即可。

[此贴子已经被作者于2005-8-20 9:44:43编辑过]

yjh_920

http://news.mydrivers.com/pages/images/20050818163508_85382.gif

yjh_920

希望对网友有所帮助