W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
$ I2 N; `3 b$ _: A一、W32.Spybot.Worm   病毒的特点
8 f+ I0 y7 c2 ]* s- V; u这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
) l- u) ^# ~$ d  [  G& B8 F: K1 f# s# k  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
6 u) k. |! w" H- v$ y  \$ B5 Z* |  ?MS03-026   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
9 a5 I2 [0 J  y  使用   TCP   port   135   的   DCOM   RPC   弱点。   
1 ~1 Q4 s$ s& ^- W  ?MS04-011   
& Z* e- F6 A/ S: x. R  t6 V5 ^, T  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
2 ]( d9 R: Z7 }1 Z' l软本机安全性认证服务远程缓冲区弱点   
  ?MS02-061   
3 O+ O4 S  s& ^  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
7 h" u# Z1 D" G. @- e  ?MS03-007   
. B! O/ F9 q: f8 ]  J8 V  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
1 l: F' |- r) e  `: F  使用   TCP   port   80   的   WebDAV   弱点   
; s( W! d% ?6 e* K  ?MS01-059   
  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
$ J9 m# S' p: q# @) B* x  UPnP   通知缓冲区弱点   
0 ]4 a* h2 f3 u) S  ?MS03-049   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
) U( V) F, W5 G; z. h: g9 Z  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
  Windows   XP   的使用者只要有安装MS03-043   
  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
  类型：
蠕虫
感染长度：
不一定
( P' ^6 W; J# s$ {8 b) q受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
  Windows   Server   2003,   Windows   XP   
  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
5 t8 Y! t2 O0 w, e$ s  C8 P3 n  3.x   
  危害：   
  1.   将个人数据送到   IRC   频道   
  2.   在受感染计算机上执行未经认证的命令   
  3.   会造成本地局域网网络拥塞
二、清除步骤   
. S5 d. M' x/ A) s  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
' D+ k8 O- A$ T" W4 `做到网络中的每一台计算机都不放过。   
  2、清除病毒：
（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
（2）更新Symantec   防毒软件到最新的病毒定义码
  W4 f8 ]4 L4 z; |9 \: r: Z1 B  K（3）重新启动计算机到安全模式
（4）对计算机做手动完全扫描
（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
以手工删除）关键一步这就是删除感染病毒体的文件
  y5 o; e3 o0 r3 _) U, G（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
$ ~0 ^; b+ L) u, O* X$ i+ |0 y% D出注册表文件
0 {( Q% M9 f; M. {# T8 f# G% ^+ C（7）检查注册表中的一下各项   
7 ^" g% x: Z7 `  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  un   
+ W; p* k7 F) Y  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unOnce   
7 I$ D! m! y9 {! X  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
4 {6 Z$ X4 N* P+ {! e  unServices   
3 y, D6 z2 b! q1 r0 Z6 f- }  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
, d2 [* m: B. Y  sion\Run   
  删除刚才记录的文件名键值
（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
- ?" H- y& a9 f6 s5 Z. F! B6 e  Windows2000-KB824146-x86-CHS.exe   
" M( ?5 H% E# t. [2 U9 F: L  Windows2000-KB835732-x86-CHS.EXE   
  Windows2000-KB828749-x86-CHS.exe   
  Windows2000-KB828035-x86-CHS.exe   
; W4 ?! D" s: Z( D' x3 B  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
安装SP2   省去很多麻烦）:   
  WindowsXP-KB824146-x86-CHS.exe   
( Y& v! u$ ~" m' x3 O  WindowsXP-KB828035-x86-CHS.exe   
. o5 i: ^; T% s5 c  WindowsXP-KB835732-x86-CHS.EXE   
4 X7 j' |* w2 f  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
- F2 _8 |8 y: U9 ^需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
/ |4 D8 J: ~' n5 f& O系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。