簡介
病毒名稱:“狙擊波”(Worm_Zotob.A)病毒類型:蠕蟲
病毒級別:三級
感染系統:Windows 2000, Windows NT, Windows XP(未安裝SP2)
病毒長度:22,528位元組
其它命名:Worm.Zotob.a(金山)
I-Worm.Zobot
W32.Zotob.A(Symantec)
Zotob.A (F-Secure)
W32/Zotob.worm (McAfee)
W32/Zotob-A (Sophos)
WORM_ZOTOB.A (Trend)
病毒特徵
另外與震盪波、衝擊波發作時的現象類似,系統受到攻擊後,會不斷重啟。1、生成病毒檔案
在%System%目錄下生成botzor.exe。(其中,%System%是Windows的系統資料夾,通常是 C:\Windows\System、C:\WINNT\System32或C:\Windows\System32)
2、修改註冊表項
病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下創建註冊項"WINDOWS SYSTEM" = "botzor.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService下創建註冊項"WINDOWS SYSTEM" = "botzor.exe"
病毒還會將註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess中的鍵值"Start"的值改為0x00000004以便阻止WinXP自帶的防火牆運行。
3、蠕蟲的傳播
蠕蟲通過微軟的即插即用漏洞(MS05-039)進行傳播。通過對網路中445連線埠的掃描,一旦發現有機器沒有安裝安全漏洞補丁,蠕蟲就會通過445連線埠進行傳播。
4、其它
病毒被激活後,會連線到伺服器diabl0.turkcoders.net,黑客能夠通過伺服器向被感染的機器傳送命令。
同時,病毒還會修改HOST檔案,以便阻止被感染的用戶訪問防病毒軟體廠商的主頁。
手工清除該病毒的相關操作:
(一)註冊表的恢復
1、打開註冊表編輯器
2、在左邊的面板中打開
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,在右邊的面板中刪除病毒檔案的鍵值
3、在左邊的面板中打開
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunService,在右邊的面板中刪除病毒檔案的鍵值
(二)刪除病毒釋放的檔案
點擊“開始——〉查找——〉檔案和資料夾”,查找檔案“botzor.exe”,並將找到的檔案刪除。
(三)恢復微軟自帶防火牆的運行
在左邊的面板中打開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
在右邊的面板中找到Start並且將其鍵值改為0x00000003
(四)運行防毒軟體,對系統進行全面的病毒查殺
