其变种c,除了通过微软漏洞传播以外,还可以通过电子邮件传播,带毒邮件的主题和内容均不固定。
蠕虫详细资料如下:
病毒名称:“狙击波”(worm_zotob.a)
病毒类型:蠕虫
病毒级别:三级
感染系统:windows 2000, windows nt, windows xp(未安装sp2)
病毒长度:22,528字节
其它命名:worm.zotob.a(金山)
i-worm.zobot
w32.zotob.a(symantec)
zotob.a (f-secure)
w32/zotob.worm (mcafee)
w32/zotob-a (sophos)
worm_zotob.a (trend)
病毒特征:
“狙击波” (worm_zotob.a)及其变种是利用几天前微软刚刚公布的系统严重漏洞(windows plug and play 服务漏洞)攻击tcp端口445,攻击代码向目标系统的445端口发送漏洞代码,使目标系统造成缓冲区溢出,同时运行病毒代码,进行传播。
另外与震荡波、冲击波发作时的现象类似,系统受到攻击后,会不断重启。
1、生成病毒文件
在%system%目录下生成botzor.exe。(其中,%system%是windows的系统文件夹,通常是 c:\windows\system、c:\winnt\system32或c:\windows\system32)
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在
hkey_local_machine\software\microsoft\windows\currentversion\run下创建注册项"windows system" = "botzor.exe"
hkey_local_machine\software\microsoft\windows\currentversion\runservice下创建注册项"windows system" = "botzor.exe"
病毒还会将注册表hkey_local_machine\system\currentcontrolset\services\
sharedaccess中的键值"start"的值改为0x00000004以便阻止winxp自带的防火墙运行。
3、蠕虫的传播
蠕虫通过微软的即插即用漏洞(ms05-039)进行传播。通过对网络中445端口的扫描,一旦发现有机器没有安装安全漏洞补丁,蠕虫就会通过445端口进行传播。
4、其它
病毒被激活后,会连接到服务器diabl0.turkcoders.net,黑客能够通过服务器向被感染的机器发送命令。
同时,病毒还会修改host文件,以便阻止被感染的用户访问防病毒软件厂商的ag捕鱼主页。
手工清除该病毒的相关操作:
(一)注册表的恢复
1、打开注册表编辑器
2、在左边的面板中打开
hkey_local_machine>software>microsoft>windows>currentversion>run,在右边的面板中删除病毒文件的键值
3、在左边的面板中打开
hkey_current_user>software>microsoft>windows>currentversion>runservice,在右边的面板中删除病毒文件的键值
(二)删除病毒释放的文件
点击“开始——〉查找——〉文件和文件夹”,查找文件“botzor.exe”,并将找到的文件删除。
(三)恢复微软自带防火墙的运行
在左边的面板中打开
hkey_local_machine\system\currentcontrolset\services\sharedaccess
在右边的面板中找到start并且将其键值改为0x00000003
(四)运行杀毒软件,对系统进行全面的病毒查杀
专家建议:
1、建议用户立即修补漏洞,链接如下
2、加强管理,专网应与外网严格隔离,防止不必要的感染
3、遭受感染后,应先断开网络,再进行蠕虫的清除
4、关注蠕虫出现的变种,及时升级杀毒软件,启动实时监控