W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
& i& L* g; b, r8 J' f/ r& W7 W一、W32.Spybot.Worm   病毒的特点
! v+ V1 k. J2 }8 U: y这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
% f9 {  b( e2 N1 ^4 _  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
) E- u8 ~% w1 ^: b6 ]需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
) Z8 q! P: E8 \2 n  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
+ P5 R5 v( Q3 |7 p) E! B8 R/ d中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
8 x+ F) |2 R4 q1 y6 F( J1 B8 T! v  ?MS03-026   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
$ y5 Y' h+ C# A1 D  @+ P  使用   TCP   port   135   的   DCOM   RPC   弱点。   
  ?MS04-011   
) j# t4 w) a7 L' v6 r( O' B  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
软本机安全性认证服务远程缓冲区弱点   
  ?MS02-061   
' }' ?+ E2 F( `$ q( k) A: f3 y2 C  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
6 V4 O, {% z( ~  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
) Y! \7 v8 \# ^2 t  ?MS03-007   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
# Z9 V( s& @; T" _. A# t% e  使用   TCP   port   80   的   WebDAV   弱点   
$ y2 @! M2 f+ G) |0 u7 M* ]0 t  ?MS01-059   
  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
3 I2 V* W' p7 g. s6 ^5 Z/ h  UPnP   通知缓冲区弱点   
  ?MS03-049   
9 o. O1 O+ L0 S5 t! {! k0 I. N  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
4 ?, |) t: {# i/ L% K; s) {/ ^. v- m) h. M  Windows   XP   的使用者只要有安装MS03-043   
) D- |4 L9 O2 Q, p: U- [( h  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
8 ?: I/ \  B1 }  类型：
" d! v) j1 J6 e- T蠕虫
感染长度：
( B3 w2 ~  p( w. G  b. c$ e不一定
受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
7 k/ U6 x3 M) b3 |$ x) Z2 J  Windows   Server   2003,   Windows   XP   
  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
  3.x   
5 U; L- ]9 U5 v9 L  危害：   
8 }0 t* P+ z: v  1.   将个人数据送到   IRC   频道   
( \) a( \; }, t! e7 i  2.   在受感染计算机上执行未经认证的命令   
  3.   会造成本地局域网网络拥塞
二、清除步骤   
- k, V% V! i& a) h9 P8 @1 c# Z  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
* l" [: A/ f, m/ Y% |7 T6 s做到网络中的每一台计算机都不放过。   
) F1 d- X! ?' I& T# N- P  2、清除病毒：
$ \: l* {" V  B; E7 }（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
" D; {* Y4 o2 N. Y" H! t（2）更新Symantec   防毒软件到最新的病毒定义码
* ^& d; O: o4 a8 {3 F' j& L（3）重新启动计算机到安全模式
& t5 w" \% d. b) }（4）对计算机做手动完全扫描
4 A/ @* ~) [# s4 [3 ^2 G$ g/ a（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
3 w* T3 {3 g/ `- W, @. D以手工删除）关键一步这就是删除感染病毒体的文件
（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
- {1 n' S3 w( [1 g& y: T  i5 d+ e出注册表文件
: Q0 X6 J' |1 Z# [* I- C（7）检查注册表中的一下各项   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
# J$ ?0 P* r: X2 e  un   
& j, ]* l* M9 t+ v) |* d+ F  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unOnce   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
. W" i2 s: P8 n  unServices   
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
  sion\Run   
( a. X2 V4 k3 q4 a  删除刚才记录的文件名键值
（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
7 B5 N# Z9 s3 N* k, ~, @% l- T# e  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
  Windows2000-KB824146-x86-CHS.exe   
  Windows2000-KB835732-x86-CHS.EXE   
, k* C) R5 F( i* r) O4 m! n  Windows2000-KB828749-x86-CHS.exe   
  Windows2000-KB828035-x86-CHS.exe   
  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
3 C% @) s3 P+ P2 }; Z! a% ]( q安装SP2   省去很多麻烦）:   
  WindowsXP-KB824146-x86-CHS.exe   
. e% T6 f% i8 w  WindowsXP-KB828035-x86-CHS.exe   
  WindowsXP-KB835732-x86-CHS.EXE   
  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。
# w( V- y0 S1 P4 R% c' j