史萊姆論壇 - 查看單個文章

psac · 2005-08-19, 08:29 AM

這幾天網路上最「紅」的病毒就是被稱為歷史上最快利用微軟漏洞攻擊電腦的病毒「狙擊波」 (Worm.Zotob.A)。

該病毒利用了8月9日微軟發佈的即插即用中的漏洞（MS05-039），病毒傳播者通過病毒會向未感染的機器傳送漏洞溢位資料包，如果攻擊失敗，受攻擊的機器會發生崩潰，出現倒計時對話視窗，然後系統開始頻繁重啟。此外，該病毒還可以通過IRC接受黑客指令，使被感染電腦被黑客完全控制，並且該病毒還會禁止用戶更新安全軟體。

在微軟發佈安全公告後短短的5天之內，網際網路上就出現了該蠕蟲病毒！而到目前為止，該病毒已經出現了超過10個變種！

該病毒最早可能源自歐洲芬蘭，之後在歐洲迅速流傳。昨天從美國傳來消息，美國部分重要企業和政府機構遭受此次蠕蟲狂潮的襲擊，並造成網路癱瘓。不過，該蠕蟲病毒目前在中國內地的疫情還比較緩和，並未出現大規模氾濫。原因並不是國內的電腦比國外的要安全性好，據瞭解，而最主要的還是目前截獲的「狙擊波」及變種均為國外作者編寫，可完全攻擊和感染英文版的Windows系統。所以對於中文Windows系統，該病毒雖然可以攻擊電腦致使倒計時重啟，卻不能致使感染。

不過要是當該病毒出現針對中文版Windows的時候，國內的疫情形勢就會非常嚴峻！據有關人士表示，由於Windows2000以及WindowsXP SP1系統用戶是該病毒的主要對象，這樣的話估計國內有六成電腦用戶受到安全威脅！因此，不管你是否已經被該病毒「騷擾」，都應該先做到防範於未然，可不要等到中了病毒再來亡羊補牢。

該病毒呈現以下特徵：
　　1. 病毒將自身複製到以下目錄：%system%\botzor.exe
　　2. 在註冊表中增加如下鍵值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
　　"WINDOWS SYSTEM" = "botzor.exe"
　　——（以在每次啟動時執行）
　　3. 修改以下服務
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
　　"Start" = 0x00000004
　　——（以阻止WinXP原有的的防火牆執行）
　　4.通過MS05-039進行攻擊
　　// -=PNP445=- //transfer complete to ip:
　　5.病毒會新增以下互斥量,以保證系統只一個工作執行
　　B-O-T-Z-O-R
　　6.病毒文件中含有以下作者訊息
　　Botzor2005 By DiablO
　　7.病毒會連接
　　diabl0.turk*****s.net網站的IRC頻道,以接受病毒傳播者的控制.
　　8. 修改Host文件，遮閉大量國內外反病毒和安全廠商的網址，並顯示：MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

如果你的電腦還未中「狙擊波」 (Worm.Zotob.A)病毒，請：
一，立即下載微軟MS05-039的修正檔並安裝

　　•WinXP系統安全更新修正檔 (KB899588)

　　•Win2000系統安全更新修正檔(KB899588)

　　•WinXP-64系統安全更新修正檔(KB899588)

　　•WinServer 2003 系統安全更新修正檔(KB899588)

二，昇級你的殺毒軟體病毒庫，並開啟病毒既時監控。

如果你的電腦已經不幸中了「狙擊波」 (Worm.Zotob)病毒，
手動殺毒辦法：
一，在個人防火牆上增加新規則，阻止TCP連接阜139和445；
二，在工作管理器裡面結束botzor.exe工作
三，執行REGEDIT，開啟註冊表編輯器，移除病毒在註冊表中增加的啟動項
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

　　"WINDOWS SYSTEM" = botzor.exe

四，將病毒在系統目錄下新增botzor.exe文件移除,大小為22528字元。
五，結束上述步驟後，接著按照未中病毒的步驟進行——安裝微軟MS05-039的修正檔，昇級你的殺毒軟體病毒庫，並開啟病毒既時監控即可。

自動殺毒方法：
一，在個人防火牆上增加新規則，阻止TCP連接阜139和445；

二，使用各病毒廠商發佈的「狙擊波」 (Worm.Zotob.A)病毒專殺工具查殺病毒。

諾頓狙擊波專殺工具
本機下載位址：http://file2.mydrivers.com/tools/others/nd.zip
賽門鐵克公司發佈的狙擊波病毒專殺工具。這個是8月18日剛發佈的1.40版，可清除「狙擊波」病毒及其變種：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。

瑞星狙擊波專殺工具
本機下載位址：http://file2.mydrivers.com/tools/others/rx.zip
瑞星公司發佈的狙擊波病毒專殺工具。這個是8月17日剛發佈的1.0版，可清除「狙擊波」病毒及其變種：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F。

江民狙擊波專殺工具
本機下載位址：http://file2.mydrivers.com/tools/others/jm.zip
江民公司發佈的狙擊波病毒專殺工具。這個是8月17日剛發佈的1.0版，可清除「狙擊波」病毒及其變種：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

金山狙擊波專殺工具
本機下載位址：http://file2.mydrivers.com/tools/others/js.zip
金山公司發佈的狙擊波病毒專殺工具。這個是8月16日剛發佈的3.0版，可清除「狙擊波」病毒及其變種：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

三，安裝微軟MS05-039的修正檔，昇級你的殺毒軟體病毒庫，並開啟病毒既時監控即可。

2005-08-19, 08:29 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	狙擊波」防範及殺毒全攻略！這幾天網路上最「紅」的病毒就是被稱為歷史上最快利用微軟漏洞攻擊電腦的病毒「狙擊波」 (Worm.Zotob.A)。該病毒利用了8月9日微軟發佈的即插即用中的漏洞（MS05-039），病毒傳播者通過病毒會向未感染的機器傳送漏洞溢位資料包，如果攻擊失敗，受攻擊的機器會發生崩潰，出現倒計時對話視窗，然後系統開始頻繁重啟。此外，該病毒還可以通過IRC接受黑客指令，使被感染電腦被黑客完全控制，並且該病毒還會禁止用戶更新安全軟體。在微軟發佈安全公告後短短的5天之內，網際網路上就出現了該蠕蟲病毒！而到目前為止，該病毒已經出現了超過10個變種！該病毒最早可能源自歐洲芬蘭，之後在歐洲迅速流傳。昨天從美國傳來消息，美國部分重要企業和政府機構遭受此次蠕蟲狂潮的襲擊，並造成網路癱瘓。不過，該蠕蟲病毒目前在中國內地的疫情還比較緩和，並未出現大規模氾濫。原因並不是國內的電腦比國外的要安全性好，據瞭解，而最主要的還是目前截獲的「狙擊波」及變種均為國外作者編寫，可完全攻擊和感染英文版的Windows系統。所以對於中文Windows系統，該病毒雖然可以攻擊電腦致使倒計時重啟，卻不能致使感染。不過要是當該病毒出現針對中文版Windows的時候，國內的疫情形勢就會非常嚴峻！據有關人士表示，由於Windows2000以及WindowsXP SP1系統用戶是該病毒的主要對象，這樣的話估計國內有六成電腦用戶受到安全威脅！因此，不管你是否已經被該病毒「騷擾」，都應該先做到防範於未然，可不要等到中了病毒再來亡羊補牢。該病毒呈現以下特徵：　　1. 病毒將自身複製到以下目錄：%system%\botzor.exe 　　2. 在註冊表中增加如下鍵值：　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService 　　"WINDOWS SYSTEM" = "botzor.exe" 　　——（以在每次啟動時執行）　　3. 修改以下服務　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess 　　"Start" = 0x00000004 　　——（以阻止WinXP原有的的防火牆執行）　　4.通過MS05-039進行攻擊　　// -=PNP445=- //transfer complete to ip: 　　5.病毒會新增以下互斥量,以保證系統只一個工作執行　　B-O-T-Z-O-R 　　6.病毒文件中含有以下作者訊息　　Botzor2005 By DiablO 　　7.病毒會連接　　diabl0.turk*****s.net網站的IRC頻道,以接受病毒傳播者的控制. 　　8. 修改Host文件，遮閉大量國內外反病毒和安全廠商的網址，並顯示：MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! 如果你的電腦還未中「狙擊波」 (Worm.Zotob.A)病毒，請：一，立即下載微軟MS05-039的修正檔並安裝　　•WinXP系統安全更新修正檔 (KB899588) 　　•Win2000系統安全更新修正檔(KB899588) 　　•WinXP-64系統安全更新修正檔(KB899588) 　　•WinServer 2003 系統安全更新修正檔(KB899588) 二，昇級你的殺毒軟體病毒庫，並開啟病毒既時監控。如果你的電腦已經不幸中了「狙擊波」 (Worm.Zotob)病毒，手動殺毒辦法：一，在個人防火牆上增加新規則，阻止TCP連接阜139和445；二，在工作管理器裡面結束botzor.exe工作三，執行REGEDIT，開啟註冊表編輯器，移除病毒在註冊表中增加的啟動項　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　"WINDOWS SYSTEM" = botzor.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 　　"WINDOWS SYSTEM" = botzor.exe 四，將病毒在系統目錄下新增botzor.exe文件移除,大小為22528字元。五，結束上述步驟後，接著按照未中病毒的步驟進行——安裝微軟MS05-039的修正檔，昇級你的殺毒軟體病毒庫，並開啟病毒既時監控即可。自動殺毒方法：一，在個人防火牆上增加新規則，阻止TCP連接阜139和445；二，使用各病毒廠商發佈的「狙擊波」 (Worm.Zotob.A)病毒專殺工具查殺病毒。諾頓狙擊波專殺工具本機下載位址：http://file2.mydrivers.com/tools/others/nd.zip 賽門鐵克公司發佈的狙擊波病毒專殺工具。這個是8月18日剛發佈的1.40版，可清除「狙擊波」病毒及其變種：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。瑞星狙擊波專殺工具本機下載位址：http://file2.mydrivers.com/tools/others/rx.zip 瑞星公司發佈的狙擊波病毒專殺工具。這個是8月17日剛發佈的1.0版，可清除「狙擊波」病毒及其變種：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F。江民狙擊波專殺工具本機下載位址：http://file2.mydrivers.com/tools/others/jm.zip 江民公司發佈的狙擊波病毒專殺工具。這個是8月17日剛發佈的1.0版，可清除「狙擊波」病毒及其變種：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。金山狙擊波專殺工具本機下載位址：http://file2.mydrivers.com/tools/others/js.zip 金山公司發佈的狙擊波病毒專殺工具。這個是8月16日剛發佈的3.0版，可清除「狙擊波」病毒及其變種：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。三，安裝微軟MS05-039的修正檔，昇級你的殺毒軟體病毒庫，並開啟病毒既時監控即可。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次