多种办法：MS08-067病毒区分与治疗办法

[病毒名称]

Worm.Win32.MS08-067.c

[中毒现象]

一台感染了Worm.Win32.MS08-067.c病毒的计算机，其典型感染特征是：

1.不断发送垃圾数??据包，并通过这种方式将其传播到整个网络。

2.将大量以“ AT”开头的任务计划添加到本机的“任务计划”中，其中大多数以小时开始，例如11：00、13:00等

3.如果它是域环境，并且设置了域帐户登录策略（多次输入错误的登录密码后该帐户被锁定），则该域帐户通常会被锁定，因为病毒会不断猜测该域帐户密码。

4.无法正常访问Rising，Microsoft和其他安全网站的官方网站。停止或重新启动“ DNS客户端”服务后，可以打开上述网站，但是在重新启动计算机后无法打开该网站。

[通讯方式]

Worm.Win32.MS08-067.c是一种蠕虫，利用Microsoft系统MS08-067漏洞作为主要传播手段。

此外，病毒还可以通过自动加载和运行的方式通过U盘传播，并且由于病毒本身的密码表很弱，因此它将猜测网络上计算机的登录密码，例如LAN中存在可读写共享。它还将导致病毒通过局域网共享传播。

[病毒分析]

首先，该病毒将确定系统版本是Win2000还是WinXP或更高版本。如果是病毒，它将继续执行，并向病毒进程添加SeDebugPrivilege权限，在计算机的计算机名称上执行CRC32计算，并根据获取的CRC32值创建病毒互斥体，以确定是否启动通过rundll32.exe程序。如果没有，请判断是否可以找到“ svchost.exe -k netsvcs”或explorer.exe进程，然后将代码加载到这两个进程之一中，最后修改注册表，以使系统不显示隐藏文件，因此该病毒可以由系统加载。

该病毒将在％windir％\ system32目录中释放一个动态库文件，该名称是随机生成的，例如XXXXXXX.DLL；它将作为独占内存存在。通用的防病毒软件会扫描并处理这种类型的病毒。困难，需要多次重启才能删除。

对于services.exe，“ svchost.exe -k netsvcs”，“ svchost.exe -k NetworkService”处理DNS查询和TCP传输过程拦截，过滤防病毒软件关键字，包括Rising，Avast，Nod32、mcafee等。使当前中毒的计算机无法访问安全制造商的网站。

停止wscsvc，wuauserv，BITS，WinDefend，Windows Defender，ERSvc，WerSvc服务，并更改为手动以避免系统更新和系统安全性检查过程。

枚举网络计算机的用户名及其自己的密码表，使用IPC $ ADMIN $共享病毒并将其复制到远程计算机，然后通过Rundll32远程启动它，枚举驱动器以在RECYCLER下创建自己， System32文件夹，请尝试访问其他网站获取中毒计算机的IP。通过访问等网站获取当前月份号。然后通过内置算法逐步计算出病毒升级链接，方便病毒作者进行更新。

[解决方案]

一、使用特殊的杀死方法：（推荐）

①首先将Rising软件升级到最新版本，然后使用数据包捕获工具确定病毒数据包的来源。受感染的计算机通常会通过端口139发送大量数据包，尤其是在小时内。

②确认软件包的来源之后，断开软件包发行机的网络，进入安全模式后清除冗余的“任务计划”，并使用特殊的查杀工具进行查杀，无论是否感染了病毒。如果检测到此错误，则需要重新启动它，并且在进入所有正常模式后将对系统进行修补，尤其是MS08-067修补程序。 Microsoft上此漏洞的补丁程序名称是：KB958644。

③确认正确应用了MS08-067修补程序：应用修补程序后，％windir％\ system32目录中将存在一个netapi32.dll文件，并且您需要确保该版本为文件正确，版本正确，以证明它是正确的。已应用补丁，否则需要通过控制面板卸载并重新安装：

在Windows2000 sp4系统下，此文件的版本应为：5.0.219 5.7203

在Windows XP SP2 / SP3系统下，此文件的版本为：5.1. 260 0.3462/5694

在Windows 2003 SP1 / SP2系统下，此文件版本为：[k15]2.379 0.3229/4392

在Windows 2008 Vista下，文件版本为：6.0.600 0.16764; 6.0.600 0.20937; 6.0.600 1. 18157; 6.0.600 1. 22288

④使用cmd命令进入命令行模式，然后使用“ net share”命令查看本地共享。至少必须关闭所有读写共享，并且可以保留只读共享。

⑤定期修改系统密码，您需要设置十位以上的强密码。尝试不要使用域管理员帐户登录其他不受域控制的计算机。

⑥最后，使用已升级到最新版本的Rising防病毒软件完全杀死病毒。确认机器没有病??毒后，将其连接到网络。

⑦处理完软件包的所有源计算机之后，请对整个网络同时执行防病毒，以确保该病毒没有隐藏的地方。如果条件允许，可以通过防火墙或交换机阻止三种常见的病毒135、139和445。

二、手动处理方法：

①首先通过“文件夹选项”显示所有隐藏文件，包括受保护的操作系统文件。

②打开％windir％\ system32目录，根据详细信息排列文件，并显示文件属性和创建日期。根据文件的属性排列文件，检查是否存在可疑的DLL文件，是否为隐藏属性，请注意创建时间是否是感染时间，请确认后提示删除时不能删除。

③打开注册表编辑器，导航到HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost，双击右侧的netsvcs，检查neisvcs的值数据，并在其中查找可疑项（此操作需要net svcs该服务是熟悉的，通常可疑项目将在wmdmpmsp之后）。

④记下服务名称，找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wscServer，尝试删除该项目，它提示无法删除该项目，查看此权限，只有系统，没有读取权限，您可以增加权限，单击“高级”，选中从父级继承并替换为子级的两个复选框，然后在提示时单击“是”和“确定”。操作完成后，可以删除wscserver项的键值；

⑤重新启动计算机，删除开头％windir％\ system32目录中找到的可疑文件，删除HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001和HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet002下的wscServer键值（避免恢复到最后一个）正确的配置再次恢复此键值。）

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-339754-1.html