W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
一、W32.Spybot.Worm   病毒的特点
这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
- r( Q5 H; {/ l& x9 J$ \2 R; g4 l  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
, N2 r% k8 i1 g3 h& Q) A2 u, {3 M需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
  a* l( ^  T3 |. @也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
5 D" |2 u9 W2 X0 H! r$ O* [: w  ?MS03-026   
4 ?4 x! J: X! e  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
. B* J, C( O4 M1 a3 p& ]. @/ f  g2 u- u  使用   TCP   port   135   的   DCOM   RPC   弱点。   
: h6 ?( u5 b8 ?, p/ j* B* N5 U% t* [! Y  ?MS04-011   
  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
软本机安全性认证服务远程缓冲区弱点   
  ?MS02-061   
  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
0 K4 ]( I/ s: r1 _0 `2 f" U2 B  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
3 F' |, p! H! M( L- a  ?MS03-007   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
# }& C. t7 V8 C% O  使用   TCP   port   80   的   WebDAV   弱点   
/ S6 c! I3 I# m1 n+ n& A, Y9 H0 N  ?MS01-059   
  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
4 v; f4 W5 V# y) K4 @- H8 r1 |  UPnP   通知缓冲区弱点   
  ?MS03-049   
( e" S/ x& O. D+ K  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
/ L; a$ K! j1 V9 U0 p8 \  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
4 n& \, q! j3 K7 w  Windows   XP   的使用者只要有安装MS03-043   
& D7 n  t/ t* P  _4 k: c7 l  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
9 R0 R5 k: w5 t  类型：
1 f9 Y% @$ F* \+ G3 G. ^蠕虫
3 J- c" h" h2 }: R) V. x; L' G感染长度：
9 _/ n4 v8 i6 `4 x1 C不一定
: G" x' Y0 \$ q- e受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
: W1 x: B  \  @  Windows   Server   2003,   Windows   XP   
  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
  3.x   
  危害：   
5 F% t* Y# O; a5 m- ^7 C7 C  1.   将个人数据送到   IRC   频道   
  2.   在受感染计算机上执行未经认证的命令   
/ I  ]4 Q! G( f1 r* K* d  3.   会造成本地局域网网络拥塞
二、清除步骤   
! U: p, f% F* t  g6 ]  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
做到网络中的每一台计算机都不放过。   
2 ?5 a$ D3 S* ~9 C" U- x7 A  2、清除病毒：
9 v' s6 }; ^- M( d, v0 ]* t（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
2 v' ~6 w3 T5 r2 F1 f, j- M+ l  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
（2）更新Symantec   防毒软件到最新的病毒定义码
（3）重新启动计算机到安全模式
（4）对计算机做手动完全扫描
1 v* W' l4 U' c9 ~（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
以手工删除）关键一步这就是删除感染病毒体的文件
（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
出注册表文件
+ |  s3 {4 Q8 Q2 I+ ?  n: p/ u（7）检查注册表中的一下各项   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  un   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
' _9 ^" C! n2 o; q4 ]  unOnce   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unServices   
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
  sion\Run   
9 M! Q' `7 v# [* ]* ^/ i5 p( K& W, ^  删除刚才记录的文件名键值
# y2 i& E/ G5 r- w$ T0 g（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
& e8 x) T+ Z% Z' ^: w8 f  a到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
2 R5 c2 g& @: ^  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
  Windows2000-KB824146-x86-CHS.exe   
  Windows2000-KB835732-x86-CHS.EXE   
  Windows2000-KB828749-x86-CHS.exe   
  Windows2000-KB828035-x86-CHS.exe   
  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
安装SP2   省去很多麻烦）:   
  WindowsXP-KB824146-x86-CHS.exe   
  WindowsXP-KB828035-x86-CHS.exe   
8 e' U* }2 F; E) ?  WindowsXP-KB835732-x86-CHS.EXE   
; V) S( v$ U9 }) b  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
) ^- }( ~+ K3 o系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。
' }6 c/ h  V  \8 [& d