W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
一、W32.Spybot.Worm   病毒的特点
2 q7 h7 N, a8 `这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
' i9 u8 I3 P. U' u5 q! |需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
7 z1 a- h# z  t; ~7 D3 S  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
+ W+ ?6 n; u8 B  A  h1 E中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
  ?MS03-026   
. W5 L+ x; W- ]6 g+ P& Q  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
  使用   TCP   port   135   的   DCOM   RPC   弱点。   
' V5 a8 j# H# a- N! W  ?MS04-011   
3 u/ v0 }# h' f9 [4 |1 u  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
- w, B/ I" g9 _% U1 |软本机安全性认证服务远程缓冲区弱点   
* {- g" _% r/ r6 {5 |! l  ?MS02-061   
  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
' ~8 w6 [( o/ A  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
  ?MS03-007   
6 Y- C: e2 m1 [  T/ c6 e9 _+ h  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
  使用   TCP   port   80   的   WebDAV   弱点   
  ?MS01-059   
+ Y2 q0 E! }" f+ t# P6 V  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
# d) c% s9 Y' ?8 Q1 M  UPnP   通知缓冲区弱点   
  ?MS03-049   
  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
  Windows   XP   的使用者只要有安装MS03-043   
" r! k7 ~. w2 n' |6 v: `! z  C" n  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
" z* o( C2 f( O, f5 b! n/ |8 w  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
  类型：
蠕虫
( q8 X6 A! H6 l* c3 Z& y感染长度：
不一定
" d1 C; p# M' R4 ^% a受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
2 k6 j0 o# Q' C& B2 ]6 }9 a  Windows   Server   2003,   Windows   XP   
5 Z& V% m' F/ h; M; w& N  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
6 Z6 n" H% d3 O/ ]+ t% o  3.x   
: N( m8 q+ n' Y* a1 ~4 }% Q  危害：   
3 h; t! {- R  p  1.   将个人数据送到   IRC   频道   
$ D# ?8 Q5 _6 p1 N2 I) k/ i2 i  2.   在受感染计算机上执行未经认证的命令   
  3.   会造成本地局域网网络拥塞
; b9 O; q, N/ e; m二、清除步骤   
  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
做到网络中的每一台计算机都不放过。   
  2、清除病毒：
% [9 L& K* Z/ R* Y2 d（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
# S! U+ v0 n5 e6 P$ I. a  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
（2）更新Symantec   防毒软件到最新的病毒定义码
  S  d8 l. c' V% _2 |（3）重新启动计算机到安全模式
0 T& O( v/ ]( k( ]: n# P/ r. i; c（4）对计算机做手动完全扫描
（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
以手工删除）关键一步这就是删除感染病毒体的文件
& Y7 l% H$ Y6 k) R（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
$ R* d8 p7 k0 B( Q& E4 P出注册表文件
（7）检查注册表中的一下各项   
1 x' j" a: x; a7 p4 l3 ~4 {, S  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
. s1 t5 p7 c8 F2 _( I$ s( b  un   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
" a  ^$ y$ x" a  unOnce   
8 D* I0 r/ \; A: a. i' E  n8 o  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  unServices   
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
7 _5 J# ~6 e+ A: {  sion\Run   
  删除刚才记录的文件名键值
（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
8 A: v- z+ p* Y( F到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
  Windows2000-KB824146-x86-CHS.exe   
: t; O1 c6 A  j* z" ?0 u  Windows2000-KB835732-x86-CHS.EXE   
  Windows2000-KB828749-x86-CHS.exe   
) J2 V( o) u% w  s/ V& m# K! n5 I  Windows2000-KB828035-x86-CHS.exe   
2 H3 P  Z6 @0 L: O  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
* ~& g, @' l, r+ Q安装SP2   省去很多麻烦）:   
9 P" a& ^* F) ~7 i! X7 f  WindowsXP-KB824146-x86-CHS.exe   
  WindowsXP-KB828035-x86-CHS.exe   
  WindowsXP-KB835732-x86-CHS.EXE   
, n2 `  i( K6 H6 t7 ?( ^0 ^  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
2 @9 G9 C# @  X4 }' \0 ?需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。