“網結”病毒(Worm.Plexus.b)

金山毒霸反病毒中心在6月17日晚上截獲“網結”病毒及其變種(Worm.Plexus.b),該病毒是一種蠕蟲病毒。感染系統後,會對隨機IP進行RPC和LSASS漏洞進行攻擊,開設後門,方便攻擊者控制,還會傳送大量病毒郵件。該病毒傳播速度極快,會對網路造成嚴重堵塞。

基本介紹

  • 中文名:網結病毒
  • 外文名:Worm.Plexus.b
病毒信息,名稱,傳染條件,受影響系統,破壞方式,破壞方式概述,技術特點一,技術特點二,解決方案,

病毒信息

名稱

病毒名稱: Worm.Plexus.b
中文名稱: “網結”病毒
威脅級別: 3C

傳染條件

1、此蠕蟲利用Worm.MyDoom 的原始碼
2、利用LSASS溢出漏洞(MS04-011)和 DCOM RPC 漏洞(MS03-026)進行傳播

受影響系統

Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

破壞方式

破壞方式概述

對隨機IP進行RPC和LSASS漏洞進行攻擊,開設後門,方便攻擊者控制,還會傳送大量病毒郵件。

技術特點一

1、將自身複製到系統安裝目錄下生成如下檔案:
%SystemRoot%\\\\system32\\\\upu.exe
2、找到KaZaA的已分享資料夾,並將自身複製成以下檔案之一:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
3、找到網路已分享資料夾,並將自身複製成以下檔案之一:
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

技術特點二

1、在註冊表主鍵
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
下添加如下鍵值:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
C、在%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\目錄下的檔案hosts中添加如下內容:
127.0.0.1 downloads-us1.kaspersky-labs
127.0.0.1 downloads1.kaspersky-labs
127.0.0.1 downloads4.kaspersky-labs
127.0.0.1 downloads2.kaspersky-labs
127.0.0.1 downloads-eu1.kaspersky-labs
D、使用“Expletus”互斥體,來判斷自己是否已經運行。
E、開竅TCP135和TCP445,並監聽1250和一個隨機連線埠
F、搜尋硬碟中所有以htm、html、php、tbb、txt為後綴名的檔案,從中查找E-Mail地址。
G、使用自己的SMTP引擎,向找到的E-Mail地址發信。發信內容如下之一:
Subject: RE: order
Message:
Hi.
Here is the archive with those information, you asked me.
And don\\\'t forget, it is strongly confidencial!!!
Seya, man.
P.S. Don\\\'t forget my fee ;)
Attachment: SecUNCE.exe
Subject: For you
Message:
Hi, my darling :)
Look at my new screensaver. I hope you will enjoy...
Your Liza
Attachment: AtlantI.exe
Subject: Hi, Mike
Message:
My friend gave me this account generator for I wanna share it with you :)
And please do not distribute it. It\\\'s private.
Attachment: AGen1.03.exe
Subject: Good offer.
Message:
Greets! I offer you full base of accounts with passwords of mail server . Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
Attachment: demo.exe
Subject: RE:
Message:
Hi, Nick. In this archive you can find all those things, you asked me.
See you. Steve
Attachment: release.exe

解決方案

· 請使用金山毒霸2004年06月18日的病毒庫可完全處理該病毒;
· 對於不明郵件不要打開附屬檔案運行;
· 手工解決方案:
首先,如果系統為WinMe或WinXP,則請先關閉系統還原功能。
毒霸論壇:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系統還原”功能)
對於系統是Win9x/WinMe:
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純DOS模式,然後轉到系統目錄(默認的系統目錄為
C:\\\\windows),分別輸入以下命令,以便刪除病毒程式
C:\\\\windows\\\\>cd system
C:\\\\windows\\\\system32\\\\del upu.exe
完畢後,取出系統軟碟,重新引導到Windows系統。
如果手中沒有系統軟體盤,可以在引導系統時按“F5”鍵也可進入純DOS模式。
步驟二,清除病毒註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
找到並刪除如下項目:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
步驟三,清除病毒修改的host檔案:
用記事本打開%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\下的host檔案,將以下內容
127.0.0.1 downloads-us1.kaspersky-labs
127.0.0.1 downloads1.kaspersky-labs
127.0.0.1 downloads4.kaspersky-labs
127.0.0.1 downloads2.kaspersky-labs
127.0.0.1 downloads-eu1.kaspersky-labs
刪除,並保存。
對於系統是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務
管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“ upu.exe”,單擊“結束進程按
鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
通過“我的電腦”或“資源管理器”進入系統目錄(Winnt\\\\system32或windows\\\\system32),找
到檔案" SysTask.exe", 將其刪除;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\Currentversion\\\\Run
找到並刪除如下項目:
"NvClipRsv" = "%SystemRoot%\\\\system32\\\\upu.exe"
關閉註冊表編輯器。
步驟四,清除病毒修改的host檔案:
用記事本打開%SystemRoot%\\\\system32\\\\drivers\\\\etc\\\\下的host檔案,將以下內容
127.0.0.1 downloads-us1.kaspersky-labs
127.0.0.1 downloads1.kaspersky-labs
127.0.0.1 downloads4.kaspersky-labs
127.0.0.1 downloads2.kaspersky-labs
127.0.0.1 downloads-eu1.kaspersky-labs
刪除,並保存。

熱門詞條

聯絡我們