W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
4 E% T% }! _/ R一、W32.Spybot.Worm   病毒的特点
* v. Q) X" u5 c1 j. `这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
! t8 T* |, p/ Z1 h0 L; n  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
% c# S. u! E8 C% a- [) M8 N8 ]需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
- m' y8 ?$ R" m, U4 x5 j1 l中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
/ j) S- S4 ~8 E  ?MS03-026   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
  使用   TCP   port   135   的   DCOM   RPC   弱点。   
  ?MS04-011   
  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
软本机安全性认证服务远程缓冲区弱点   
% F+ Q8 }# W2 L9 F! A' ^% y$ L  ?MS02-061   
  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
3 m7 r6 N0 B! h6 {1 h; [! B  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
1 }" C+ e& b% e7 m5 r  ?MS03-007   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
  使用   TCP   port   80   的   WebDAV   弱点   
  ?MS01-059   
( @; v! q. l' E/ {! M4 _1 _  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
  UPnP   通知缓冲区弱点   
  ?MS03-049   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
; H" }) E4 w; p* m/ Q  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
. I; T' T- H' Y! M3 d1 O  Windows   XP   的使用者只要有安装MS03-043   
  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
  类型：
蠕虫
感染长度：
$ S; |3 w0 c" X5 K: W. ^  s% q  v不一定
. Y6 p. c  X9 L6 X; T受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
* h! z% V1 S9 V: k  Windows   Server   2003,   Windows   XP   
& L0 o+ U5 @: P! D" [" B/ R+ ]  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
  3.x   
  危害：   
9 U# ]7 n. J4 D  1.   将个人数据送到   IRC   频道   
  2.   在受感染计算机上执行未经认证的命令   
  3.   会造成本地局域网网络拥塞
二、清除步骤   
6 C+ e- p3 u7 @) l7 G  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
+ m. S5 g7 Y  W8 m& U做到网络中的每一台计算机都不放过。   
* W7 O: H$ v5 ~+ H  2、清除病毒：
  Q5 M' e9 e2 u% g" p; C（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
) G6 X8 a7 r2 S, M9 A) I8 Y  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
（2）更新Symantec   防毒软件到最新的病毒定义码
（3）重新启动计算机到安全模式
（4）对计算机做手动完全扫描
（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
以手工删除）关键一步这就是删除感染病毒体的文件
4 g- o2 |# H' C3 W2 ]* n（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
- p, N4 M2 {4 M* \出注册表文件
（7）检查注册表中的一下各项   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  un   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unOnce   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unServices   
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
7 }4 C7 w% Q% S4 }0 k  sion\Run   
; L$ v$ {4 L3 f$ y; k  删除刚才记录的文件名键值
5 R- @4 g/ ~) A% c% j& Z（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
( @; t# e+ Z- X, q1 ], K到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
( n# s( o3 U+ w  Windows2000-KB824146-x86-CHS.exe   
  Windows2000-KB835732-x86-CHS.EXE   
, {+ x5 Y' E( g  W0 k, I  Windows2000-KB828749-x86-CHS.exe   
! ~% s9 [5 d$ l- t  Windows2000-KB828035-x86-CHS.exe   
  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
" d" v. Z$ \. s) x% ^安装SP2   省去很多麻烦）:   
  ?% d' L% M3 n: l, Y- s  WindowsXP-KB824146-x86-CHS.exe   
+ i9 F! o) M/ A0 B/ \  k4 v  WindowsXP-KB828035-x86-CHS.exe   
0 z( f. x! P- d3 P$ M; ~  WindowsXP-KB835732-x86-CHS.EXE   
6 o) V) h' _3 n, L. H  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
; }' f! H- I; f, s1 _需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
# Q7 a& `8 O0 e5 S2 N7 ^系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。
- G1 R1 [/ S* e