W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
" n- l' o7 ]+ }& P一、W32.Spybot.Worm   病毒的特点
' `' t. o0 I: ~! w+ a这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
  ?MS03-026   
2 |, [: {" z0 B' `. n; D; B  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
; A! f: q: p- N  使用   TCP   port   135   的   DCOM   RPC   弱点。   
  H1 X) F: f% }0 X% o1 `/ p+ U5 R  ?MS04-011   
  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
2 ?9 U' T5 \* Q. `软本机安全性认证服务远程缓冲区弱点   
, ?" f! b/ z! P! ~6 n  ?MS02-061   
9 }; W" ^3 B% g  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
/ r+ l% Y! u/ L! D- x% P  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
2 m% t! V' _$ g+ q6 m; S# K% C! C  ?MS03-007   
' j# s/ ^8 P" ?, }0 d  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
  使用   TCP   port   80   的   WebDAV   弱点   
3 K3 a7 j: v' {" t8 k  ?MS01-059   
9 `7 V) H2 s. @- S' x, {/ Z; u7 b  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
  UPnP   通知缓冲区弱点   
7 G. L0 a! q5 k- _  ?MS03-049   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
" X6 _  i) S# ~  Windows   XP   的使用者只要有安装MS03-043   
  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
, `" P9 f2 S! [# b  T; y; F) b  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
6 S; ^: o1 X( b& x' X  类型：
蠕虫
/ b  S7 f$ }! l5 {感染长度：
不一定
受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
' S3 q+ [& r* ?$ j9 `( L5 @  Windows   Server   2003,   Windows   XP   
% f6 P9 J+ C) ?* x4 P* ^1 S3 e% Z  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
  3.x   
  危害：   
/ x& [/ g: X6 M# A  1.   将个人数据送到   IRC   频道   
- {& \6 T, V5 H1 M# B# o; U) u. X  2.   在受感染计算机上执行未经认证的命令   
  3.   会造成本地局域网网络拥塞
9 T' a+ Z. h" }6 H. e二、清除步骤   
! A2 w8 c1 v4 {1 N9 {( q) f9 A  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
做到网络中的每一台计算机都不放过。   
! O0 B6 v8 K0 s% q* n0 s  2、清除病毒：
（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
（2）更新Symantec   防毒软件到最新的病毒定义码
( O. D  z: b) f5 x+ @, I3 _（3）重新启动计算机到安全模式
( {2 w& g( ~7 ?（4）对计算机做手动完全扫描
% X: J4 K; u% C1 ^1 B# E7 V（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
以手工删除）关键一步这就是删除感染病毒体的文件
3 H) |) s- l0 |" Q7 w（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
出注册表文件
, P. |5 [$ i- n: F（7）检查注册表中的一下各项   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  un   
1 G9 J" Q6 ]- ~- D  _, \, |  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
' }1 x: x0 M! v. C+ j  unOnce   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unServices   
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
  sion\Run   
  删除刚才记录的文件名键值
5 a& p+ U. I! k, B6 f（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
# X& y6 d' F8 P) \到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
/ U, j" s! _4 K( `% ?6 d" F4 u  Windows2000-KB824146-x86-CHS.exe   
  Windows2000-KB835732-x86-CHS.EXE   
  Windows2000-KB828749-x86-CHS.exe   
  Windows2000-KB828035-x86-CHS.exe   
) k& o& W2 q; @! U/ O  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
安装SP2   省去很多麻烦）:   
  WindowsXP-KB824146-x86-CHS.exe   
  WindowsXP-KB828035-x86-CHS.exe   
6 E( {8 L2 e# |- I* _# D; Q  WindowsXP-KB835732-x86-CHS.EXE   
  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
: F( T4 x1 O) n0 d1 H  ^需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
: Q5 V% p1 s' z! h4 Q9 e$ v& ~系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。