|
 | 作者: hilary [hilary]
 论坛用户 |
登录 |
| 不知道什么时候我中了 windns32.exe Scardsvr32.dll 的蠕虫病毒。每次都占用我大量的CPU 每次结束进程后。没多大一会儿都又出现啦。我把生成的 windns32.exe Scardsvr32.dll 的这两个文件全部删除。还是不行。没多大一会儿他自己就又出来了。杀毒也杀不掉。删也删不掉。由于硬盘上大多数的东西都是我经心收藏的。所以不想从装。还望有高手指点。  |
| 地主 发表时间: 04-05-02 18:14 |
| 回复: hilary [hilary] 论坛用户 |
登录 |
|
在今天截获的病毒中Backdoor/Norbot.g和I-Worm/Dumaru.p值得关注。 Backdoor/Norbot.g 病毒长度:114kb 病毒类型:后门 危害等级:* 影响平台:Win2000/XP/NT Backdoor/Norbot.g利用DCOM RPC漏洞、RPC漏洞、WeDav和弱密码进行传播,允许攻击者通过IRC访问被感染的计算机。利用的端口为TCP 135、 445和80端口。 传播过程及特征: 1.在系统目录下复制自身为:%System%\Windns32.exe。 2.修改注册表: 添加"WinDNS" = "windns32.exe"键值到启动项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 3.修改%System%\drivers\etc\hosts文件,导致用户不能访问一些网站。 4.连接IRC服务器进行监听。 5.允许攻击者远程控制感染的计算机并有如下操作: 下载并执行文件 盗取系统信息 盗取一些视频游戏的CD Keys 终止进程 在感染的系统上运行SOCKS服务 6.用NetUserEnum()函数枚举用户名和密码,探测到下列共享,并复制自身到这些目录下。 c$ print$ c d$ e$ admin$ 7.终止一些反病毒和防火墙进程,删除一些蠕虫生成的文件和注册的键值。 I-Worm/Dumaru.p 病毒长度:40,960 bytes, 28,020 bytes 病毒类型:网络蠕虫 危害等级:** 影响平台:Win9X/2000/XP/NT/Me/2003 I-Worm/Dumaru.p是一个多线程群发邮件蠕虫,利用自带的SMTP引擎发送邮件进行传播。它可以开一后门,记录键盘操作并试图盗取私人信息。邮件附件名为document.zip是一个压缩文件,包含蠕虫的执行体文件myphoto.jpg<56个空格>.exe。 病毒进入系统后,在C盘根目录下生成nload.exe文件,此文件长度为28,020 bytes并用FSG压缩过。 一旦nload.exe文件运行,它将进行如下操作: 1.在%Windir%\TEMP\下生成photo.jpg文件,运行explorer.exe并装载美女图片。 2.在系统目录下复制自身为: %System%\1111a.exe %System%\1111c.exe; 在启动文件夹下复制为1111b.exe。 3.在临时文件夹下生成包含该蠕虫的文件%Windir%\Temp\Zip.tmp。 4.修改注册表: 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加"load32"="%System%\1111a.exe"键值。 系统为Windows NT/2000/XP: 修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的"shell"键值,设置为"Shell"="explorer.exe %System%\1111c.exe"。 系统为Windows 95/98/Me: 修改system.ini文件的[boot]项,在shell=explorer.exe后添加"%System%\1111c.exe"字符串。 5.从一个预定的网站下载名为nvidia32.exe的木马程序,它可以记录键盘信息并盗取被感染计算机的系统信息。如果下载nvidia32.exe成功,它将在注册表中创建HKEY_LOCAL_MACHINE\SOFTWARE\SARS子键。 6.从被感染计算机下有如下扩展名的文件中搜索邮件地址并保存在%Windir%\1111mail.log: .htm ,.wab ,.html ,.dbx ,.tbb ,.abd 利用自身的SMTP引擎向上述地址发送邮件,其特征如下: 发件人: <随机字母>@<从找到的邮件地址中选择的域> 主题: Unknown 邮件正文: If you cant see message text from: <some random characters> , read attached file. 附件: document.zip 7.运行多个新程序,有如下操作: 创建一个Windowshook,系统中某些动作发生时取得控制权,用来盗取在网页或程序中键入的密码并存贮到1111k.log; 从不同的程序中收集密码,但对于一些特殊的网站(如www.e-gold.com)会记录所有的键盘纪录; 记录剪切板里的信息到1111c.log; 打开系统端口等待引入连接,一般会监听TCP端口10000和2283; 周期性的检查记录盗取信息的文件长度,如果达到了一定的长度就会发送到指定的FTP服务器上; 运行两个后门程序,从而允许攻击者控制被感染的系统并利用它进行传播。 8.查找当前机器的IP地址,蠕虫把此IP作为文件名发送到一个FTP服务器上。 注:%Windir%为变量,一般为C:\Windows 或 C:\Winnt; %System%为变量,一般为C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP)。 这里说只有江民杀毒软件才可以杀。还要升级后才能杀。大家有没有别的办法呀。 |
| B1层 发表时间: 04-05-02 18:28 |
| 回复: hilary [hilary] 论坛用户 |
登录 |
|
都等了一天一夜了。怎么一个帮忙的都没有呀? |
| B2层 发表时间: 04-05-04 22:08 |
| 回复: hilary [hilary] 论坛用户 |
登录 |
|
火都烧到眉毛啦。还没有人管呀? |
| B3层 发表时间: 04-05-05 22:30 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 如果解决windns32.exe