W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
一、W32.Spybot.Worm   病毒的特点
5 n4 `* D- B$ y' W0 |- m( V这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
- C  q8 ?1 J" E/ D% C  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
( w$ J' {5 h4 N3 a) D也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
/ y6 o8 M! S; v' e  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
) Q+ [% b/ E/ U5 F3 O  W* q# v  ?MS03-026   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
/ q" `  w, V' p/ A8 l  使用   TCP   port   135   的   DCOM   RPC   弱点。   
- f, e! P1 y0 Z+ ?- f) i" O  ?MS04-011   
  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
软本机安全性认证服务远程缓冲区弱点   
2 a; [' \5 O* S  ?MS02-061   
  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
0 B0 g* `9 v: h  l0 f" n7 w  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
  ?MS03-007   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
! L2 d5 r; J2 y! l" i& ^  使用   TCP   port   80   的   WebDAV   弱点   
) C0 r( I0 N1 ^  ?MS01-059   
, Y0 A$ j' Z2 W# Z6 w/ n. h  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
9 ~2 d/ T8 q2 S. v; w0 B  UPnP   通知缓冲区弱点   
  ?MS03-049   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
9 k! F! @* P) c6 z8 z  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
! |# [! W; U8 m5 y! p5 {# ?  Windows   XP   的使用者只要有安装MS03-043   
  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
9 b' V" q7 n$ {  类型：
蠕虫
' A1 ^' o+ W2 L9 O! @" y# {感染长度：
. z$ \8 ~/ i+ p' I3 l不一定
受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
  Windows   Server   2003,   Windows   XP   
  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
  3.x   
  危害：   
3 ^' Y% s1 I# V  t2 ?" v  1.   将个人数据送到   IRC   频道   
3 u  W/ O  b$ h# J  2.   在受感染计算机上执行未经认证的命令   
5 a' B# ^  c% G  3.   会造成本地局域网网络拥塞
二、清除步骤   
  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
做到网络中的每一台计算机都不放过。   
) ]% }; ~/ y  k0 m1 O) T8 N  2、清除病毒：
9 [0 O! L" U" M% |9 b（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
（2）更新Symantec   防毒软件到最新的病毒定义码
（3）重新启动计算机到安全模式
（4）对计算机做手动完全扫描
（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
以手工删除）关键一步这就是删除感染病毒体的文件
1 e& G: V$ D' J/ X0 z; e# j) M（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
出注册表文件
（7）检查注册表中的一下各项   
! D7 }* ]  p. H7 w7 L! p$ d# L3 n' \" U8 n  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  un   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unOnce   
6 T, _" c" b! y; m  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  x" u, z7 K" r* E  unServices   
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
: t3 N, G  V  O/ \2 g* _: f: K  sion\Run   
3 y3 D% h4 c, t2 v! P  删除刚才记录的文件名键值
7 K% I* a/ m# Q  n" i& ^3 D9 u（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
9 V7 V# X8 P+ w) n; {/ n到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
" Z- a  W7 W7 L1 T4 y) [$ G  Windows2000-KB824146-x86-CHS.exe   
; e! c# E" H% U5 g7 B  Windows2000-KB835732-x86-CHS.EXE   
4 q, y2 p/ u0 G  b  Windows2000-KB828749-x86-CHS.exe   
  Windows2000-KB828035-x86-CHS.exe   
, @4 }9 X* e- h' a- I2 ]  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
% A9 d; y" ?# g9 l. G$ z% \8 D安装SP2   省去很多麻烦）:   
  WindowsXP-KB824146-x86-CHS.exe   
  F% h& |  Z5 [" S7 K$ R  WindowsXP-KB828035-x86-CHS.exe   
/ b. s+ ~& f, U# k+ ?$ x: }' B  WindowsXP-KB835732-x86-CHS.EXE   
  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
1 m. @: V5 V; {+ _需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
) s) `. u$ Q3 T, [: v5 j系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。
1 E* i7 C9 t# @$ V) w, r