|
作者: linyuan_25 [linyuan_25] 论坛用户 | 登录 |
我的机子中毒了,中得就是下面的个病毒,但是我把它杀掉之后,重启机子后,又会出现这样的病毒,一直都没有办法解决,之后我就在网上找了一下看有没有解决的办法,如果就找到了下面这一篇文章,但它上面只说了它的一些特性之类的东西,具体就没有解决的方法,不知道大家有没有解决的办法,可以帮我一下吗,真如下面说的那样,我都被烦死了。 Backdoor/NorBot.i解决方案 Backdoor/NorBot.i 病毒长度:大约105 KB 病毒类型:后门 危害等级:** 影响平台:Win9X/2000/XP/NT/Me/2003 Backdoor/NorBot.i试图通过网络共享中的弱密码进行传播,允许攻击者用一个特定的IRC频道访问被感染的计算机。常用PE_Patch和UPX软件进行压缩。 利用微软漏洞进行传播,包括: MS03-026:DCOM RPC漏洞 MS03-007:WebDav漏洞 MS03-049:Workstation service缓冲区溢出漏洞 MS03-043:Messenger Service缓冲区溢出漏洞 MS03-001:Locator service漏洞 MS01-059:UPnP漏洞 MS02-061:Microsoft SQL Server 2000和MSDE 2000审计漏洞 传播过程及特征: 1.在系统目录下复制自身为; %System%\nwiz.exe。 2.修改注册表: /添加键值"Norton Wizzard"="nwiz.exe"到启动项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的值:"Ssate.exe" 、"rate.exe" 、"d3dupdate.exe" 、 "TaskMon" 和"Explorer"。 3.结束一些安全软件及其相关的进程。 4.删除文件: %System%\irun4.exe %System%\i11r54n4.exe %System%\winsys.exe %System%\bbeagle.exe %System%\taskmon.exe 5.删除系统服务upnphost。 6.修改文件%System%\drivers\etc\hosts,导致连接一些网站失败。 7.随机选择TCP端口运行FTP服务器。 8.连接一个IRC频道等待远程指令,从而允许攻击者执行下列操作: 通过FTP和HTTP下载上传文件 执行命令 列举并结束进程 列举并终止服务 进行HTTP flood、 ICMP flood、 SYN flood、 UDP flood攻击 搜索邮件地址并进行保存 通过HTTP搜索邮件地址 搜索假设的URL 9.通过向一些站点发送HTTP GET请求来测量被感染计算机的连接速度。 10.利用一些蠕虫打开的后门端口进行传播。 11.删除一些病毒添加的文件以及注册表键值,并结束它们的相关进程。 12.盗取Windows的生产ID号和一些视频游戏的CD keys。 13.利用下列共享复制自身到他人计算机: c$ d$ e$ print$ admin$ 取得共享权限使用的用户名和密码是通过NetUserEnum()函数得到的。 |
地主 发表时间: 04-06-09 09:30 |
回复: jacker [jacker] 论坛用户 | 登录 |
传播过程及特征: 1.在系统目录下复制自身为; %System%\nwiz.exe。 2.修改注册表: /添加键值"Norton Wizzard"="nwiz.exe"到启动项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices /删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的值:"Ssate.exe" 、"rate.exe" 、"d3dupdate.exe" 、 "TaskMon" 和"Explorer"。 这些不就是病毒的加载体了吗??? 删除指定文件.及清除注册表相关加载键值... 其他的还请自己仔细看看... |
B1层 发表时间: 04-06-10 15:24 |
回复: linyuan_25 [linyuan_25] 论坛用户 | 登录 |
这些我都已经试过了,不顶事的,有没有什么更好的办法呀? |
B2层 发表时间: 04-06-12 09:45 |
回复: jacker [jacker] 论坛用户 | 登录 |
1. 可能是变种 2,根本不是说明中的病毒 3。把相关的病毒程序打个包过来看看。 |
B3层 发表时间: 04-06-12 11:01 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号