随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。 [病毒名称] Worm.Win32.MS08-067.c [中毒现象] 一台感染了Worm.Win32.MS08-067.c病毒的计算机,其典型感染特征是: 1.不断发送垃圾数??据包,并通过这种方式将其传播到整个网络。 2.将大量以“ AT”开头的任务计划添加到本机的“任务计划”中,其中大多数以小时开始,例如11:00、13:00等 3.如果它是域环境,并且设置了域帐户登录策略(多次输入错误的登录密码后该帐户被锁定),则该域帐户通常会被锁定,因为病毒会不断猜测该域帐户密码。 4.无法正常访问Rising,Microsoft和其他安全网站的官方网站。停止或重新启动“ DNS客户端”服务后,可以打开上述网站,但是在重新启动计算机后无法打开该网站。 [通讯方式] Worm.Win32.MS08-067.c是一种蠕虫,利用Microsoft系统MS08-067漏洞作为主要传播手段。 此外,病毒还可以通过自动加载和运行的方式通过U盘传播,并且由于病毒本身的密码表很弱,因此它将猜测网络上计算机的登录密码,例如LAN中存在可读写共享。它还将导致病毒通过局域网共享传播。 [病毒分析] 首先,该病毒将确定系统版本是Win2000还是WinXP或更高版本。如果是病毒,它将继续执行,并向病毒进程添加SeDebugPrivilege权限,在计算机的计算机名称上执行CRC32计算,并根据获取的CRC32值创建病毒互斥体,以确定是否启动通过rundll32.exe程序。如果没有,请判断是否可以找到“ svchost.exe -k netsvcs”或explorer.exe进程,然后将代码加载到这两个进程之一中,最后修改注册表,以使系统不显示隐藏文件,因此该病毒可以由系统加载。 该病毒将在%windir%\ system32目录中释放一个动态库文件,该名称是随机生成的,例如XXXXXXX.DLL;它将作为独占内存存在。通用的防病毒软件会扫描并处理这种类型的病毒。困难,需要多次重启才能删除。 对于services.exe,“ svchost.exe -k netsvcs”,“ svchost.exe -k NetworkService”处理DNS查询和TCP传输过程拦截,过滤防病毒软件关键字,包括Rising,Avast,Nod32、mcafee等。使当前中毒的计算机无法访问安全制造商的网站。 停止wscsvc,wuauserv,BITS,WinDefend,Windows Defender,ERSvc,WerSvc服务,并更改为手动以避免系统更新和系统安全性检查过程。 枚举网络计算机的用户名及其自己的密码表,使用IPC $ ADMIN $共享病毒并将其复制到远程计算机,然后通过Rundll32远程启动它,枚举驱动器以在RECYCLER下创建自己, System32文件夹,请尝试访问其他网站获取中毒计算机的IP。通过访问等网站获取当前月份号。然后通过内置算法逐步计算出病毒升级链接,方便病毒作者进行更新。 [解决方案] 一、使用特殊的杀死方法:(推荐) ①首先将Rising软件升级到最新版本,然后使用数据包捕获工具确定病毒数据包的来源。受感染的计算机通常会通过端口139发送大量数据包,尤其是在小时内。 ②确认软件包的来源之后,断开软件包发行机的网络,进入安全模式后清除冗余的“任务计划”,并使用特殊的查杀工具进行查杀,无论是否感染了病毒。如果检测到此错误,则需要重新启动它,并且在进入所有正常模式后将对系统进行修补,尤其是MS08-067修补程序。 Microsoft上此漏洞的补丁程序名称是:KB958644。 ③确认正确应用了MS08-067修补程序:应用修补程序后,%windir%\ system32目录中将存在一个netapi32.dll文件,并且您需要确保该版本为文件正确,版本正确,以证明它是正确的。已应用补丁,否则需要通过控制面板卸载并重新安装: 在Windows2000 sp4系统下,此文件的版本应为:5.0.219 5.7203 在Windows XP SP2 / SP3系统下,此文件的版本为:5.1. 260 0.3462/5694 在Windows 2003 SP1 / SP2系统下,此文件版本为:[k15]2.379 0.3229/4392 在Windows 2008 Vista下,文件版本为:6.0.600 0.16764; 6.0.600 0.20937; 6.0.600 1. 18157; 6.0.600 1. 22288 ④使用cmd命令进入命令行模式,然后使用“ net share”命令查看本地共享。至少必须关闭所有读写共享,并且可以保留只读共享。 ⑤定期修改系统密码,您需要设置十位以上的强密码。尝试不要使用域管理员帐户登录其他不受域控制的计算机。 ⑥最后,使用已升级到最新版本的Rising防病毒软件完全杀死病毒。确认机器没有病??毒后,将其连接到网络。 ⑦处理完软件包的所有源计算机之后,请对整个网络同时执行防病毒,以确保该病毒没有隐藏的地方。如果条件允许,可以通过防火墙或交换机阻止三种常见的病毒135、139和445。 二、手动处理方法: ①首先通过“文件夹选项”显示所有隐藏文件,包括受保护的操作系统文件。 ②打开%windir%\ system32目录,根据详细信息排列文件,并显示文件属性和创建日期。根据文件的属性排列文件,检查是否存在可疑的DLL文件,是否为隐藏属性,请注意创建时间是否是感染时间,请确认后提示删除时不能删除。 ③打开注册表编辑器,导航到HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost,双击右侧的netsvcs,检查neisvcs的值数据,并在其中查找可疑项(此操作需要net svcs该服务是熟悉的,通常可疑项目将在wmdmpmsp之后)。 ④记下服务名称,找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wscServer,尝试删除该项目,它提示无法删除该项目,查看此权限,只有系统,没有读取权限,您可以增加权限,单击“高级”,选中从父级继承并替换为子级的两个复选框,然后在提示时单击“是”和“确定”。操作完成后,可以删除wscserver项的键值; ⑤重新启动计算机,删除开头%windir%\ system32目录中找到的可疑文件,删除HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001和HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet002下的wscServer键值(避免恢复到最后一个)正确的配置再次恢复此键值。)
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。 |
温馨提示:喜欢本站的话,请收藏一下本站!