|
 | 作者: daniellin [daniellin]
 论坛用户 |
登录 |
| 文:SPSYS.EXE病毒杀除方法 原创:香水坏坏 出处:http://www.gotod.com(如需转载,请著名出处) 电邮:daniel.lin#gotod.com 说明:国内各大杀毒软体公司(eg:瑞新),截止目前还未提供针对该病毒的杀毒库以及相关工具 ********************************************************************************************************************************* 病毒描述 文件名:spsys.exe 最早样本截取时间:2005-12-16 文件位置:%系统文件夹% 启动类型:系统服务形式 服务名称显示为:SP service 受影响的系统:windows2000,XP,2003 描述: 通过RPC/DCOM攻击传播,通过发送伪造代码为DCOM服务能够获取目标主机完全控制权限。需要RPC TCP 135端口。 危害: 自动开启端口6667,允许连接到一个 在线聊天系统 服务器(asd.amberxcv.com)的#omeg3频道。一旦连接上,一个远断恶意用户受感染系统的控制权。并且能够执行如下而已操作: 1 修改 在线聊天系统服务 2 断开或重连服务器 3 从FTP服务器下载文件 4 执行FTP服务器文件 5 下载WEB服务器文件 6 任意衍生一个新的副本 7 键盘记录 ************************************************************************************************************************************************ 删除方法 1 查看系统服务,禁止SP service 服务 2 删除注册表如下位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spsys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SaftBoot\Minimal\SPsys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SaftBoot\Network\SPsys 3 重启系统,删除%系统文件夹%spsys.exe 文件 *************************************************************************************************************************************************** 后记:这个东西真的很讨厌,在机器上开启大量端口,浪费网络资源,上网查资料,所有中文网站还没有任何解决办法,就连好多最新的杀毒软体都没有此病毒的记录。 故在解决问题后,写此教程,希望能给同样碰到类拟问题的朋友给予帮助! |
| 地主 发表时间: 06-01-21 23:25 |
 | 回复: wang0722 [wang0722]  论坛用户 |
登录 |
|
谢了!很有帮助! |
| B1层 发表时间: 06-01-25 20:02 |
| 回复: xiaoeryi [xiaoeryi] 论坛用户 |
登录 |
|
我中了此病毒,现在用卡巴和木马克星都没有一点办法。 手工删除注册表提示无法删除所有指定值 ,估计是它自己有保护。5555555,现在没辙ing。。 |
| B2层 发表时间: 06-01-27 11:51 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: [06-01-21病毒]SPSYS.EXE病毒杀除方法