作者:东莞教育在线 来源:dgedu.com.cn 更新日期:2008-9-1
阅读次数:
僵尸病毒是蠕虫病毒的一种,僵尸病毒会生成病毒文件为:netddesrv.exe。感染该病毒会出现下面几种情况:一是电脑系统突然变慢;二是文件被改写;三是进程变多;四是有对外连接IRC服务器的迹象等等。该病毒是蠕虫病毒的最新变种,受感染计算机可能会被黑客控制,并使局域网的运转速度变慢,危害较大,希望各校网管人员加强防范意识,做好预防工作,当计算机出现中毒症状要及时采取措施补救。
病毒文件名称:netddesrv.exe
文件长度:23,040字节
类型:蠕虫
杀毒软件查杀名称:
W32.Toxbot(Symantec);Backdoor.Win32.Codbot.at(Kaspersky Lab);W32/Sdbot.worm.gen(McAfee);Win32.Detox.based(DoctorWeb);W32/Codbot-Z(Sophos);Worm/CodBot.19792(H+BEDV);Dropped:Trojan.Deletme.A(SOFTWIN);
W32/Sdbot.EZD.worm(Panda);Win32/Codbot(Eset)
受影响系统: Windows 95;Windows 98;Windows 2000;Windows NT; Windows Me;Windows XP
蠕虫特征:
蠕虫运行后会产生如下特征:
1.连接IRC服务器;
1)连接IRC服务器的域名、IP、连接端口情况如下
2)连接频道:#26# ;密码:g3t0u7
2.扫描随机产生的IP地址,并试图感染这些主机;
3.运行后将自身复制到%System%\netddesrv.exe;
4.在系统中添加名为NetDDE Server的服务,并受系统进程services.exe保护。
手工清除方法:
该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下:
1.断开网络;
2.恢复注册表;
打开注册表编辑器,在左边的面板中打开并删除以下键值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet Control\SafeBoot\Minmal\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\urrentControlSet \Control\SafeBoot\Network\NetDDEsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\NetDDEsrv
3.重新启动计算机;
4.删除蠕虫释放的文件;
删除在%system%下的netddesrv.exe文件。(%system%是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32)
5.运行杀毒软件,对系统进行全面的病毒查杀;
安装微软MS04-011、MS04-012、 MS04-007漏洞补丁;或者可以直接点击IE浏览器“工具”选择“windows update”就可以进行补丁下载升级了。
|
