W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
一、W32.Spybot.Worm   病毒的特点
# b$ @8 x& G% c这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
3 `" p+ l" V! l. y4 m& Q) z7 V也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
+ [- ^; s% C  ^. [* q  ?MS03-026   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
7 B. O) p& r" s/ Q/ A  使用   TCP   port   135   的   DCOM   RPC   弱点。   
! J, a6 e. E6 o) M: W  ?MS04-011   
  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
% R" a7 w  \4 S  t7 L) _8 Q软本机安全性认证服务远程缓冲区弱点   
  ?MS02-061   
. t) \4 {* Q5 q0 p) ~  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
- L! v8 _% z# ^  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
* Y/ X2 W: k: z& D& U! \  ?MS03-007   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
8 i4 ]! F; w# d2 ^! _( n/ l  使用   TCP   port   80   的   WebDAV   弱点   
  ?MS01-059   
% H* ^; m- N3 l; d% d- h5 u, M  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
6 V- ~' b: P! A  UPnP   通知缓冲区弱点   
  ?MS03-049   
' P. [! E, B$ ~/ H. e+ c  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
. n. x8 ?  x4 E8 c, Z* j) w  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
  Windows   XP   的使用者只要有安装MS03-043   
  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
  类型：
蠕虫
: H1 Q/ F+ u6 q1 z9 m感染长度：
不一定
+ @0 D6 {2 N4 V4 R受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
  Windows   Server   2003,   Windows   XP   
3 L. m; r1 E1 j( r  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
  3.x   
  危害：   
, K6 _$ Q: N- `" n3 L5 V  1.   将个人数据送到   IRC   频道   
  2.   在受感染计算机上执行未经认证的命令   
6 I3 Z$ \( P  K  a0 \, K) F8 s2 r# h' Q  3.   会造成本地局域网网络拥塞
二、清除步骤   
  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
做到网络中的每一台计算机都不放过。   
( j0 [/ A3 e; [4 Q' L- a  q. |  2、清除病毒：
% z7 @) E) f% x# r. l* q* n（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
# |9 G% z+ J! J  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
4 e/ ~' B# q" }% g5 s9 @0 J（2）更新Symantec   防毒软件到最新的病毒定义码
（3）重新启动计算机到安全模式
（4）对计算机做手动完全扫描
（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
以手工删除）关键一步这就是删除感染病毒体的文件
（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
出注册表文件
$ s* H. e( m4 c4 ^1 @+ \（7）检查注册表中的一下各项   
/ Y) g+ C  ?2 g' n' p  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  un   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unOnce   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unServices   
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
- J" L% E  p* x8 Y3 c  sion\Run   
  删除刚才记录的文件名键值
（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
. N& L, Q# ^2 L+ h6 g6 J; j到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
9 o- V5 L( V* a( a  x* f  Windows2000-KB824146-x86-CHS.exe   
  Windows2000-KB835732-x86-CHS.EXE   
3 m" y0 F6 |1 u* W  Windows2000-KB828749-x86-CHS.exe   
$ w" _/ H+ L+ w. m  Windows2000-KB828035-x86-CHS.exe   
% |7 {( k$ @9 X2 `5 N: V& d& p  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
  R& ~4 p, w2 K8 p  J! S0 \安装SP2   省去很多麻烦）:   
0 M) e# }: J% u. h) b  WindowsXP-KB824146-x86-CHS.exe   
5 b$ H/ \" |: Q4 s1 z  WindowsXP-KB828035-x86-CHS.exe   
, e& m# G: ]' x3 X2 q, Z. d  WindowsXP-KB835732-x86-CHS.EXE   
  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
" k2 E9 G& R7 X1 W) D6 N需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。
% u, k! D2 e! r. S$ f# D