基本介紹
- 中文名:網結病毒
- 外文名:Worm.Plexus.b
病毒信息,名稱,傳染條件,受影響系統,破壞方式,破壞方式概述,技術特點一,技術特點二,解決方案,
病毒信息
名稱
病毒名稱: Worm.Plexus.b
中文名稱: “網結”病毒
威脅級別: 3C
傳染條件
1、此蠕蟲利用Worm.MyDoom 的原始碼
2、利用LSASS溢出漏洞(MS04-011)和 DCOM RPC 漏洞(MS03-026)進行傳播
受影響系統
Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
破壞方式
破壞方式概述
對隨機IP進行RPC和LSASS漏洞進行攻擊,開設後門,方便攻擊者控制,還會傳送大量病毒郵件。
技術特點一
%SystemRoot%\\\\system32\\\\upu.exe
2、找到KaZaA的已分享資料夾,並將自身複製成以下檔案之一:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
3、找到網路已分享資料夾,並將自身複製成以下檔案之一:
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
技術特點二
1、在註冊表主鍵:
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
下添加如下鍵值:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
C、在%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\目錄下的檔案hosts中添加如下內容:
127.0.0.1 downloads-us1.kaspersky-labs
127.0.0.1 downloads1.kaspersky-labs
127.0.0.1 downloads4.kaspersky-labs
127.0.0.1 downloads2.kaspersky-labs
127.0.0.1 downloads-eu1.kaspersky-labs
D、使用“Expletus”互斥體,來判斷自己是否已經運行。
E、開竅TCP135和TCP445,並監聽1250和一個隨機連線埠
F、搜尋硬碟中所有以htm、html、php、tbb、txt為後綴名的檔案,從中查找E-Mail地址。
G、使用自己的SMTP引擎,向找到的E-Mail地址發信。發信內容如下之一:
Subject: RE: order
Message:
Hi.
Here is the archive with those information, you asked me.
And don\\\'t forget, it is strongly confidencial!!!
Seya, man.
P.S. Don\\\'t forget my fee ;)
Attachment: SecUNCE.exe
Subject: For you
Message:
Hi, my darling :)
Look at my new screensaver. I hope you will enjoy...
Your Liza
Attachment: AtlantI.exe
Subject: Hi, Mike
Message:
My friend gave me this account generator for I wanna share it with you :)
And please do not distribute it. It\\\'s private.
Attachment: AGen1.03.exe
Subject: Good offer.
Message:
Greets! I offer you full base of accounts with passwords of mail server . Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
Attachment: demo.exe
Subject: RE:
Message:
Hi, Nick. In this archive you can find all those things, you asked me.
See you. Steve
Attachment: release.exe
解決方案
· 對於不明郵件不要打開附屬檔案運行;
· 手工解決方案:
首先,如果系統為WinMe或WinXP,則請先關閉系統還原功能。
對於系統是Win9x/WinMe:
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,然後轉到系統目錄(默認的系統目錄為
C:\\\\windows\\\\>cd system
C:\\\\windows\\\\system32\\\\del upu.exe
完畢後,取出系統軟碟,重新引導到Windows系統。
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
找到並刪除如下項目:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
關閉註冊表編輯器.
步驟三,清除病毒修改的host檔案:
用記事本打開%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\下的host檔案,將以下內容
127.0.0.1 downloads-us1.kaspersky-labs
127.0.0.1 downloads1.kaspersky-labs
127.0.0.1 downloads4.kaspersky-labs
127.0.0.1 downloads2.kaspersky-labs
127.0.0.1 downloads-eu1.kaspersky-labs
刪除,並保存。
對於系統是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務
管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“ upu.exe”,單擊“結束進程按
鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
到檔案" SysTask.exe", 將其刪除;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
找到並刪除如下項目:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
關閉註冊表編輯器。
步驟四,清除病毒修改的host檔案:
用記事本打開%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\下的host檔案,將以下內容
127.0.0.1 downloads-us1.kaspersky-labs
127.0.0.1 downloads1.kaspersky-labs
127.0.0.1 downloads4.kaspersky-labs
127.0.0.1 downloads2.kaspersky-labs
127.0.0.1 downloads-eu1.kaspersky-labs
刪除,並保存。