名稱
相關資料
金山毒霸於6月11日截獲一個利用多種漏洞以及弱密碼攻擊的方式進行傳播的蠕蟲病毒。當日緊急升級了病毒庫。升級毒霸到最新,可完全處理該病毒。病毒信息:
病毒名稱: Worm.ForBot.a
中文名稱:混合蠕蟲
威脅級別:3A
病毒別名:
Backdoor.ForBot.a【AVP】
Worm.ForBot.a 【瑞星】
病毒類型:後門,蠕蟲
受影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
破壞方式:
該病毒利用最近幾個微軟最嚴重的漏洞進行快速傳播,其它LSASS漏洞、RPC漏洞最為嚴重。病毒進入系統後會開啟後門、中止大量安全軟體,並偷取大量正版遊戲的序列號,給用戶造成一定的經濟損失。病毒還會使用IPC共享、P2P等共享軟體來傳播自己。
技術特點:
A、在系統安裝目錄下生成如下檔案,並將病毒前一個運行檔案刪除:
%System%\smsc.exe
並運行這個新生成的檔案
B、添加註冊表鍵值
1、在註冊表主鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
下添加如下鍵值:
"Win32 USB 2 Driver" = "smsc.exe"
C、創建一個名為"Win32 USB 2 Driver"服務
發作現象:
A、對下列網站進行DoS攻擊
www.schlund.net
www.utwente.nl
verio.fr
www.1und1.de
www.switch.ch
www.belwue.de
de.yahoo.com
www.xo.net
www.stanford.edu
www.verio.com
www.nocster.com
www.rit.edu
www.cogentco.com
www.burst.net
nitro.ucsc.edu
www.level3.com
www.above.net
www.lib.nthu.edu.tw
www.st.lib.keio.ac.jp
www.d1asia.com
www.nifty.com
yahoo.co.jp
B、DOS攻擊利用以下技術
HTTP FLOOD
UPD FLOOD
PINF FLOOD
SYN FLOOD
C、通過IRC進行傳播,控制感染機器
D、利用多種微軟漏洞進行傳播。
MS04-011(LSASS漏洞)
MS03-026(RPC/DCOM漏洞)
MS03-001(RPC Locator 漏洞)
MS03-007(IIS/WebDAV 漏洞)
E、盜取正版遊戲CD-Key
Battlefield 1942
Black and White
Command and Conquer
Counter-Strike
FIFA 2002
FIFA 2003
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
IGI2 Covert Strike
Industry Giant 2
James Bond 007 Nightfire
Medal of Honor Allied Assault
Medal of Honor Allied Assault Breakthrough
Medal of Honor Allied Assault spearhead
Nascar Racing 2002
Nascar Racing 2003
NHL 2002
NHL 2003
Need For Speed Hot Pursuit 2
Need For Speed Underground
Neverwinter Nights
Ravenshield
Shogun Total War warlord Edition
Soldiers Of Anarchy
Soldier Of Fortune 2
The Gladiators
Unreal Tournament 2003
F、會對關閉多種安全軟體的進程
ACKWIN32.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
ALERTSVC.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVWIN95.EXE
AVWINNT.EXE
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
AckWin32.EXE
AutoTrace.EXE
AvSynMgr.AVSYNMGR.EXE
AvgServ.EXE
Avgctrl.EXE
AvkServ.EXE
Avsched32.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
BlackICE.EXE
CDP.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95CF.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMON016.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CTRL.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
Claw95.EXE
Claw95cf.EXE
DEFWATCH.EXE
DEPUTY.EXE
DOORS.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEB32.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFPEADM.EXE
ENT.EXE
ESAFE.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
ESPWATCH.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE
EXPERT.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FAST.EXE
FINDVIRU.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN.EXE
FP-WIN_TRIAL.EXE
FPROT.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
等等。
解決方案:
· 請使用金山毒霸2004年06月11日的病毒庫可完全處理該病毒;
· 請立即打上系統補丁,並關閉系統中不必要的共享和設定管理密碼更強狀。
· 在使用P2P軟體下載程式時,請通過反病毒軟體檢測後再使用。
· 手工解決方案:
如果系統為WinMe或WinXP,則請先關閉系統還原功能。
(毒霸論壇:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系統還原”功能)
對於系統是Win9x/WinMe:
步驟一,步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,然後轉到系統目錄(默認的系統目錄為C:\windows),分別輸入以下命令,以便刪除病毒程式:
C:\windows\>cd system
C:\windows\system\del smsc.exe
完畢後,取出系統軟碟,重新引導到Windows系統。
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。
步驟二,清除病毒在註冊表里添加的項
1、打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
找到並刪除如下項目:
"Win32 USB 2 Driver" = "smsc.exe"
2、打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices\
找到並刪除如下項目:
"Win32 USB 2 Driver" = "smsc.exe"
3、打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
找到並刪除如下項目:
"Win32 USB 2 Driver" = "smsc.exe"
關閉註冊表編輯器.
對於系統是Windows NT,Windows2000,Windows XP,Windows 2003 sever
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“smsc.exe”,單擊“結束進程按鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
通過“我的電腦”或“資源管理器”進入系統目錄(Winnt\system32或windows\system32),找到檔案"smsc.exe", 將其刪除;
步驟三,清除病毒在註冊表里添加的項
參考Win9x/WinMe
將微軟的補丁升級完全
依次打開,開始選單→程式→Windows Update;進行系統升級。
不要下載或打開不知來源的檔案。
專家提醒:
1、請及時升級您的毒霸到最新。因為病毒隨時在產生,金山毒霸的病毒庫也會隨時升級中,請多關注金山毒霸安全諮詢網(www.duba.net)上的最新病毒公告,或者訂閱金山毒霸的“病毒簡訊”,為您提供最新最快的病毒信息和毒霸的升級信息;
duba.net已經推出“線上病毒日曆”,及時為您播報近期危險病毒,敬請關注;
2、打開網路和病毒防火牆,為您的系統打上微軟的最新補丁。殺病毒不如防病毒,只要防止住病毒進入的通道,就可徹底免除病毒帶來的危害;
3、請一定留意收到的郵件,如果有附屬檔案,請不要打開附屬檔案,更不要執行附屬檔案中的可執行程式,注意病毒程式偽裝的圖示,不要輕信圖示為“電子表格、文本檔案、資料夾”的附屬檔案;
4、掌握一些相關的系統操作知識,這樣可以方便、及時的發現新病毒。
