当前位置:萝卜系统下载站 > 电脑学习教程 > 详细页面

多种办法:MS08-067病毒区分与治疗办法

多种办法:MS08-067病毒区分与治疗办法

更新时间:2023-07-27 文章作者:未知 信息来源:网络 阅读次数:

随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

瑞星杀毒软件当前部署不完整 无法正确执行此操作_瑞星杀毒软件当前部署不完整 无法正确执行此操作

[病毒名称]

Worm.Win32.MS08-067.c

[中毒现象]

一台感染了Worm.Win32.MS08-067.c病毒的计算机,其典型感染特征是:

1.不断发送垃圾数??据包,并通过这种方式将其传播到整个网络。

2.将大量以“ AT”开头的任务计划添加到本机的“任务计划”中,其中大多数以小时开始,例如11:00、13:00等

3.如果它是域环境,并且设置了域帐户登录策略(多次输入错误的登录密码后该帐户被锁定),则该域帐户通常会被锁定,因为病毒会不断猜测该域帐户密码。

瑞星杀毒软件当前部署不完整 无法正确执行此操作_瑞星杀毒软件当前部署不完整 无法正确执行此操作

4.无法正常访问Rising,Microsoft和其他安全网站的官方网站。停止或重新启动“ DNS客户端”服务后,可以打开上述网站,但是在重新启动计算机后无法打开该网站。

[通讯方式]

Worm.Win32.MS08-067.c是一种蠕虫,利用Microsoft系统MS08-067漏洞作为主要传播手段。

此外,病毒还可以通过自动加载和运行的方式通过U盘传播,并且由于病毒本身的密码表很弱,因此它将猜测网络上计算机的登录密码,例如LAN中存在可读写共享。它还将导致病毒通过局域网共享传播。

[病毒分析]

首先,该病毒将确定系统版本是Win2000还是WinXP或更高版本。如果是病毒,它将继续执行,并向病毒进程添加SeDebugPrivilege权限,在计算机的计算机名称上执行CRC32计算,并根据获取的CRC32值创建病毒互斥体,以确定是否启动通过rundll32.exe程序。如果没有,请判断是否可以找到“ svchost.exe -k netsvcs”或explorer.exe进程,然后将代码加载到这两个进程之一中,最后修改注册表,以使系统不显示隐藏文件,因此该病毒可以由系统加载。

该病毒将在%windir%\ system32目录中释放一个动态库文件,该名称是随机生成的,例如XXXXXXX.DLL;它将作为独占内存存在。通用的防病毒软件会扫描并处理这种类型的病毒。困难,需要多次重启才能删除。

瑞星杀毒软件当前部署不完整 无法正确执行此操作_瑞星杀毒软件当前部署不完整 无法正确执行此操作

对于services.exe,“ svchost.exe -k netsvcs”,“ svchost.exe -k NetworkService”处理DNS查询和TCP传输过程拦截,过滤防病毒软件关键字,包括Rising,Avast,Nod32、mcafee等。使当前中毒的计算机无法访问安全制造商的网站。

停止wscsvc,wuauserv,BITS,WinDefend,Windows Defender,ERSvc,WerSvc服务,并更改为手动以避免系统更新和系统安全性检查过程。

枚举网络计算机的用户名及其自己的密码表,使用IPC $ ADMIN $共享病毒并将其复制到远程计算机,然后通过Rundll32远程启动它,枚举驱动器以在RECYCLER下创建自己, System32文件夹,请尝试访问其他网站获取中毒计算机的IP。通过访问等网站获取当前月份号。然后通过内置算法逐步计算出病毒升级链接,方便病毒作者进行更新。

[解决方案]

一、使用特殊的杀死方法:(推荐)

①首先将Rising软件升级到最新版本,然后使用数据包捕获工具确定病毒数据包的来源。受感染的计算机通常会通过端口139发送大量数据包,尤其是在小时内。

②确认软件包的来源之后,断开软件包发行机的网络,进入安全模式后清除冗余的“任务计划”,并使用特殊的查杀工具进行查杀,无论是否感染了病毒。如果检测到此错误,则需要重新启动它,并且在进入所有正常模式后将对系统进行修补,尤其是MS08-067修补程序。 Microsoft上此漏洞的补丁程序名称是:KB958644。

瑞星杀毒软件当前部署不完整 无法正确执行此操作_瑞星杀毒软件当前部署不完整 无法正确执行此操作

③确认正确应用了MS08-067修补程序:应用修补程序后,%windir%\ system32目录中将存在一个netapi32.dll文件,并且您需要确保该版本为文件正确,版本正确,以证明它是正确的。已应用补丁,否则需要通过控制面板卸载并重新安装:

在Windows2000 sp4系统下,此文件的版本应为:5.0.219 5.7203

在Windows XP SP2 / SP3系统下,此文件的版本为:5.1. 260 0.3462/5694

在Windows 2003 SP1 / SP2系统下,此文件版本为:[k15]2.379 0.3229/4392

在Windows 2008 Vista下,文件版本为:6.0.600 0.16764; 6.0.600 0.20937; 6.0.600 1. 18157; 6.0.600 1. 22288

④使用cmd命令进入命令行模式,然后使用“ net share”命令查看本地共享。至少必须关闭所有读写共享,并且可以保留只读共享。

⑤定期修改系统密码,您需要设置十位以上的强密码。尝试不要使用域管理员帐户登录其他不受域控制的计算机。

⑥最后,使用已升级到最新版本的Rising防病毒软件完全杀死病毒。确认机器没有病??毒后,将其连接到网络。

⑦处理完软件包的所有源计算机之后,请对整个网络同时执行防病毒,以确保该病毒没有隐藏的地方。如果条件允许,可以通过防火墙或交换机阻止三种常见的病毒135、139和445。

二、手动处理方法:

①首先通过“文件夹选项”显示所有隐藏文件,包括受保护的操作系统文件。

②打开%windir%\ system32目录,根据详细信息排列文件,并显示文件属性和创建日期。根据文件的属性排列文件,检查是否存在可疑的DLL文件,是否为隐藏属性,请注意创建时间是否是感染时间,请确认后提示删除时不能删除。

③打开注册表编辑器,导航到HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost,双击右侧的netsvcs,检查neisvcs的值数据,并在其中查找可疑项(此操作需要net svcs该服务是熟悉的,通常可疑项目将在wmdmpmsp之后)。

④记下服务名称,找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wscServer,尝试删除该项目,它提示无法删除该项目,查看此权限,只有系统,没有读取权限,您可以增加权限,单击“高级”,选中从父级继承并替换为子级的两个复选框,然后在提示时单击“是”和“确定”。操作完成后,可以删除wscserver项的键值;

⑤重新启动计算机,删除开头%windir%\ system32目录中找到的可疑文件,删除HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001和HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet002下的wscServer键值(避免恢复到最后一个)正确的配置再次恢复此键值。)


本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-339754-1.html


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

温馨提示:喜欢本站的话,请收藏一下本站!

本类教程下载

系统下载排行

网站地图xml | 网站地图html