名稱
相關資料
金山毒霸反病毒中心在6月17日晚上截獲“網結”病毒及其變種(Worm.Plexus.b),該病毒是一種蠕蟲病毒。感染系統後,會對隨機IP進行RPC和LSASS漏洞進行攻擊,開設後門,方便攻擊者控制,還會傳送大量病毒郵件。該病毒傳播速度極快,會對網路造成嚴重堵塞。病毒信息:
病毒名稱: Worm.Plexus.b
中文名稱: “網結”病毒
威脅級別: 3C
受影響系統: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
傳染條件:
1、此蠕蟲利用Worm.MyDoom 的原始碼
2、利用LSASS溢出漏洞(MS04-011)和 DCOM RPC 漏洞(MS03-026)進行傳播
破壞方式:
對隨機IP進行RPC和LSASS漏洞進行攻擊,開設後門,方便攻擊者控制,還會傳送大量病毒郵件。
技術特點:
A、
1、將自身複製到系統安裝目錄下生成如下檔案:
%SystemRoot%\\\\system32\\\\upu.exe
2、找到KaZaA的已分享資料夾,並將自身複製成以下檔案之一:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
3、找到網路已分享資料夾,並將自身複製成以下檔案之一:
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
B、
1、在註冊表主鍵:
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
下添加如下鍵值:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
C、在%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\目錄下的檔案hosts中添加如下內容:
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
D、使用“Expletus”互斥體,來判斷自己是否已經運行。
E、開竅TCP135和TCP445,並監聽1250和一個隨機連線埠
F、搜尋硬碟中所有以htm、html、php、tbb、txt為後綴名的檔案,從中查找E-Mail地址。
G、使用自己的SMTP引擎,向找到的E-Mail地址發信。發信內容如下之一:
Subject: RE: order
Message:
Hi.
Here is the archive with those information, you asked me.
And don\\\'t forget, it is strongly confidencial!!!
Seya, man.
P.S. Don\\\'t forget my fee ;)
Attachment: SecUNCE.exe
Subject: For you
Message:
Hi, my darling :)
Look at my new screensaver. I hope you will enjoy...
Your Liza
Attachment: AtlantI.exe
Subject: Hi, Mike
Message:
My friend gave me this account generator for http: //www.pantyola.com I wanna share it with you :)
And please do not distribute it. It\\\'s private.
Attachment: AGen1.03.exe
Subject: Good offer.
Message:
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
Attachment: demo.exe
Subject: RE:
Message:
Hi, Nick. In this archive you can find all Those Things, you asked me.
See you. Steve
Attachment: release.exe
解決方案:
· 請使用金山毒霸2004年06月18日的病毒庫可完全處理該病毒;
· 對於不明郵件不要打開附屬檔案運行;
· 手工解決方案:
首先,如果系統為WinMe或WinXP,則請先關閉系統還原功能。
(毒霸論壇:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系統還原”功能)
對於系統是Win9x/WinMe:
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,然後轉到系統目錄(默認的系統目錄為
C:\\\\windows),分別輸入以下命令,以便刪除病毒程式:
C:\\\\windows\\\\>cd system
C:\\\\windows\\\\system32\\\\del upu.exe
完畢後,取出系統軟碟,重新引導到Windows系統。
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。
步驟二,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
找到並刪除如下項目:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
關閉註冊表編輯器.
步驟三,清除病毒修改的host檔案:
用記事本打開%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\下的host檔案,將以下內容
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
刪除,並保存。
對於系統是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務
管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“ upu.exe”,單擊“結束進程按
鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
通過“我的電腦”或“資源管理器”進入系統目錄(Winnt\\\\system32或windows\\\\system32),找
到檔案" SysTask.exe", 將其刪除;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
找到並刪除如下項目:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
關閉註冊表編輯器。
步驟四,清除病毒修改的host檔案:
用記事本打開%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\下的host檔案,將以下內容
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
刪除,並保存。
