窺探者變種C(Worm.Randex.C)

病毒介紹

者變種C（Worm.Randex.C）病毒是“窺探者”病毒的第二個變種，它在老病毒的基礎上將病毒伺服器的IP改為：217.21.117.104，目的是為了躲避封殺，以便能更好地控制被感染的計算機。同前幾個版本病毒一樣，該病毒會釋放一個病毒程式並建立三個系統後門等待遠程病毒伺服器的操縱指令，給用戶帶來極大的安全隱患。

處理方法

此病毒會有如下特徵，如果用戶發現計算機中有這些特徵，則很有可能中了此病毒：
１、病毒運行時會建立30個執行緒，利用網路掃描技術隨機掃描網路，如果發現有連線的計算機，病毒會利用猜密碼的方法試圖獲得用戶密碼，當病毒獲取密碼成功後，會將自身拷貝成： Admin$system32msmsgri32.exe與c$winntsystem32msmsgri32.exe。用戶可以尋找自己的計算機的上述目錄，如果發現有該病毒檔案，則證明已經被感染，可直接將該病毒刪除。
２、病毒會通過修改註冊表的自啟動項來進行自啟動，病毒會修改： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，在其中加入名為：“mssyslanhelper”的註冊表鍵值。用戶可以用REGEDIT等註冊表編輯工具直接刪除病毒產生的鍵值，以防止病毒自啟動。
３、病毒運行後會釋放出一個後門病毒並運行，此後門病毒運行時會試連線217.21.117.104網站的54545連線埠,等待該網站的後門命令。用戶可以用抓包工具監測該連線埠，看是否有異常。如果發現異常，可以使用防火牆軟體進行連線埠禁止或者使用“TCP/IP篩選” 功能，禁止該連線埠。
用戶如果在自己的計算機中發現以上全部或部分現象，則很有可能中了窺探者變種C（Worm.Randex.C）病毒。為避免用戶遭受損失，瑞星公司已於截獲該病毒當天就進行了升級，目前瑞星用戶只需及時升級手中的軟體即可徹底攔截此病毒。

安全建議

1. 建立良好的安全習慣。
例如：對一些來歷不明的郵件及附屬檔案不要打開，不要上一些不太了解的網站、不要執行從 Internet 下載後未經防毒處理的軟體等，這些必要的習慣會使您的計算機更安全。
2. 關閉或刪除系統中不需要的服務。默認情況下，許多作業系統會安裝一些輔助服務，如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除它們，就能大大減少被攻擊的可能性。
3. 經常升級安全補丁。據統計，有80%的網路病毒是通過系統安全漏洞進行傳播的，象紅色代碼、尼姆達等病毒，所以我們應該定期到微軟網站去下載最新的安全補丁，以防範未然。
4. 使用複雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的，因此使用複雜的密碼，將會大大提高計算機的安全係數。
5. 迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網，以防止計算機受到更多的感染，或者成為傳播源，再次感染其它計算機。
6. 了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施，在關鍵時刻使自己的計算機免受病毒破壞：如果能了解一些註冊表知識，就可以定期看一看註冊表的自啟動項是否有可疑鍵值；如果了解一些記憶體知識，就可以經常看看記憶體中是否有可疑程式。
7. 最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天，使用毒軟體進行防毒，是越來越經濟的選擇，不過用戶在安裝了反病毒軟體之後，應該經常進行升級、將一些主要監控經常打開（如郵件監控）、遇到問題要上報， 這樣才能真正保障計算機的安全。