通信人家园

标题: 重大网络病毒警告！[转帖] [查看完整版帖子] [打印本页]

时间: 2006-8-16 19:56

作者: 家园副管02 标题: 重大网络病毒警告！[转帖]

恶性蠕虫病毒—— 魔鬼波（Worm.IRC.WargBot.a）来袭！四星级的病毒！

“魔波、魔波变种B（Worm.Mocbot.a/b）”，蠕虫病毒，通过系统漏洞传播，依赖系统：WIN 2000/XP。

IRCBot系列病毒的新变种，该病毒主要利用MS06-040漏洞进行主动传播，强势攻击互联网，可造成系统崩溃，网络瘫痪，并通过IRC聊天频道接受黑客的控制。

该病毒会利用微软MS06-040高危漏洞进行传播。会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。

感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内，因此该病毒很有可能为国人编写。

反病毒专家建议电脑用户采取以下措施预防该病毒：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。

Microsoft 安全公告 MS06-040
Server 服务中的漏洞可能允许远程执行代码 (921883)

大家可以去微软下载补丁！

windows XP 补丁下载官方地址：微软windows XP补丁
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2996b9b6-03ff-4636-861a-46b3eac7a305

windows 2000 补丁下载官方地址：微软windows 2000补丁
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=3b61153d-359f-4441-a448-24062cb2387c

Windows Server 2003 补丁下载官方地址：微软Windows Server 2003补丁
http://www.microsoft.com/downloads/details.aspx?FamilyID=a0058f39-6dea-4dfc-9dd6-4cb45b305dec&DisplayLang=zh-cn

进去点下载，然后安装，从新启动，就行了。

也可以去各大杀毒软件网站下载专杀工具~

时间: 2006-8-16 20:05

作者: 家业

多谢！已打上了补丁

时间: 2006-8-16 20:15

作者: karanqi

我试试！

时间: 2006-8-17 10:43

作者: 紅塵の蓝陌

二当家辛苦了~~~

时间: 2006-8-17 11:03

作者: 01070801

我用的中不了毒

时间: 2006-8-17 12:55

作者: 1997deman

以下是引用01070801在2006-8-17 11:03:00的发言：
我用的中不了毒

哦
我这个是什么毒

时间: 2006-8-17 13:06

作者: 01070801

以下是引用1997deman在2006-8-17 12:55:00的发言：
哦
我这个是什么毒

smss.exe可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面

SMSS.EXE:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

时间: 2006-8-17 13:09

作者: 01070801

以下是引用1997deman在2006-8-17 12:55:00的发言：
哦
我这个是什么毒

首先建议直接重装机器

这个后门共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。附图即为中毒后，任意一个EXE文件的属性，留意黄圈部分，“应用程序”变成“EXE文件”

这个病毒释放了很多病毒文件，还修改了很多注册表信息，经过一番处理，现在推荐以下步骤操作：
1. 准备工作，下载SREng.exe，并改名为SREng.com

下载地址：

http://www.kztechs.com/sreng/download.html

2. 运行ProceXP结束%Windows%\services.exe病毒进程（最好也将ProceXP.exe改名为ProceXP.com再运行，如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe，运行ProceXP.exe后%Windows%\ExERoute.exe会被调用并运行%Windows%\services.exe，等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可）
注：要注意的是，结束的病毒进程是%Windows%\services.exe，不是System32\services.exe（系统进程），大家可以从路径和它们的图标来区分。
3. 运行SREng.com，在“系统修复”>>“文件关联”里勾选“.EXE”项，并“修复”，恢复EXE文件关联
4. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件，删除它们：
C:\autorun.inf
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX（VB库文件，可以不删除）
%Windows%\services.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
开始菜单\程序\下的：
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk
注：直接从“我的电脑”或“资源管理器”里找，或者通过“搜索”查找，在那些病毒文件没有被删除之前，不要做其它任何多余的操作。
5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项：
[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

时间: 2006-8-17 13:14

作者: 01070801

以下是引用1997deman在2006-8-17 12:55:00的发言：
哦
我这个是什么毒

PS，你真衰，这么恶心的病毒你也中。我要是你，就大骂西红柿出出气，然后一口气吃掉一斤西红柿

时间: 2006-8-17 13:18

作者: 1997deman

你说的很专业
但我不懂该怎么来弄

时间: 2006-8-17 13:22

作者: 1997deman

以下是引用01070801在2006-8-17 13:14:00的发言：

PS，你真衰，这么恶心的病毒你也中。我要是你，就大骂西红柿出出气，然后一口气吃掉一斤西红柿

前天关机没发现什么病毒
昨天早上一开机卡巴就发现病毒了

时间: 2006-8-17 14:05

作者: jasmine1118

谢谢管管!
试试!

时间: 2006-8-17 14:44

作者: admin_voip

01是高手.

时间: 2006-8-17 18:06

作者: 1997deman

时间: 2006-8-18 10:44

作者: andylee005

我补丁打的硬盘都不够用了!

时间: 2006-8-18 11:35

作者: 抗日联众公署

以下是引用1997deman在2006-8-17 18:06:00的发言：

从rundll32.exe和Explorer.EXE就可以断言，你需要重装系统了

时间: 2006-8-18 12:58

作者: 这个也重名？

路过！！

时间: 2006-8-18 13:05

作者: 1997deman

以下是引用抗日联众公署在2006-8-18 11:35:00的发言：

从rundll32.exe和Explorer.EXE就可以断言，你需要重装系统了

正常的话进程是几个
那些？

时间: 2006-8-18 13:41

作者: 湖风拂面

我也打了试试看

时间: 2006-8-18 18:06

作者: eeeagle

网管辛苦了。。。。

时间: 2006-8-19 01:14

作者: 家业

看来010不光是吃西红柿，哈哈

时间: 2006-8-19 06:03

作者: 01070801

以下是引用家业在2006-8-19 1:14:00的发言：
看来010不光是吃西红柿，哈哈

想办法让西红柿也中毒。

用毒柿子拽人

时间: 2006-8-19 08:17

作者: haorenone

高度警惕！

时间: 2006-8-19 11:04

作者: bombhuang

辛苦辛苦,
公司的放火墙异常坚挺,
衣食无忧啊.
嘿嘿..
网管的辛苦还是真正的有体会的,
谢谢!!

时间: 2006-8-20 23:28

作者: 傻鱼

学了点东西嘿嘿

通信人家园 (https://www.txrjy.com/)