W32.Spybot.Worm病毒清除方案

帅哥

W32.Spybot.Worm病毒清除方案
5 T: Y  k% A' d# _9 Q一、W32.Spybot.Worm   病毒的特点
: t  r' B) t5 v0 x2 z" f这个病毒Symantec   定为2   级，没有专杀工具，这段时间不少人感染，而且   
4 C7 H% j: t. F/ F$ G  Symantec   只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾
需要手工清除。W32.Spybot.Worm   是透过   KaZaA   文件共享和mIRC   扩散的蠕虫，
也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC   Server，   
: O8 W# n1 m0 o  W32.Spybot.Worm   可以执行不同后门功能，加入不同的频道倾听指令。
3 a, j* P- ?: z5 c6 _/ Q% w中文：W32.Spybot.Worm   的变种会使用下面的漏洞进行传播：   
+ G3 R2 w/ J2 f/ @  ?MS03-026   
' K+ J  E) Y* O0 v% Z  (   http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx   )   
  使用   TCP   port   135   的   DCOM   RPC   弱点。   
7 E% X2 [0 {) |  T  ?MS04-011   
  (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)   微
+ i7 p) w2 _$ O! _0 B软本机安全性认证服务远程缓冲区弱点   
. g. D# g8 r5 r2 M: H  ?MS02-061   
/ [1 O3 M1 y# B  (   http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx   )   
9 Z7 _! L' R5 W6 M  使用   UDP   port   1434   MS-SQL   2000   或MSDE   2000   验证弱点   
: Z; p, n% _! Z/ ^7 e* r. g- e: i  ?MS03-007   
1 F" f- F9 h4 F3 O# U& h$ }  (   http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx   )   
( V" @' r/ `2 w7 j  使用   TCP   port   80   的   WebDAV   弱点   
$ Y7 `6 }: s' T8 a  ?MS01-059   
  (   http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx   )   
3 Y/ ]8 G( L- p6 D  UPnP   通知缓冲区弱点   
! F' L' V$ h% N$ B  n  ?MS03-049   
5 j; w! X/ A( t% I) x) h1 |( }  (   http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx   )   
# p, F0 n+ z+ c8 j2 e0 s  使用   TCP   port   445   的工作站服务缓冲区溢位弱点，   
$ D& S: \( R& @9 X  l  Windows   XP   的使用者只要有安装MS03-043   
2 b# i, E9 {; G  http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx   )   
# f' L5 Z0 ^. I8 u+ s2 s& _% A  就可以避免此弱点，Windows   2000   用户必须安装   MS03-049   
, V( h: N( X3 o- d3 F" K  F2 R  类型：
* n- [% J! R$ Q) `2 Y1 o) G蠕虫
+ J; L$ j& q& E- I- j感染长度：
' l5 o0 |+ P5 K7 t# m不一定
) F4 r2 u) }+ @, m* k受影响系统   Windows   2000,   Windows   95,   Windows   98,   Windows   Me,   Windows   NT,   
  Windows   Server   2003,   Windows   XP   
0 H' t3 {, p6 L# n* j; b! i, L0 t  不受影响系统   DOS,   Linux,   Macintosh,   Novell   Netware,   OS/2,   UNIX,   Windows   
# l( W' U9 u& ]  3.x   
  危害：   
) ~# v) Q) a. m1 i  1.   将个人数据送到   IRC   频道   
  2.   在受感染计算机上执行未经认证的命令   
  3.   会造成本地局域网网络拥塞
. n! T. L, l" @. i) p6 N二、清除步骤   
  1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
做到网络中的每一台计算机都不放过。   
  2、清除病毒：
+ ?. x: v! R/ \* M（1）关闭WINXP   和WINME   系统的“系统还原”功能，右键点击“我的电脑”—   
  —〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
（2）更新Symantec   防毒软件到最新的病毒定义码
9 a( G( E0 D# S  o/ v（3）重新启动计算机到安全模式
（4）对计算机做手动完全扫描
（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
2 `6 i+ s7 E5 ]3 M& a以手工删除）关键一步这就是删除感染病毒体的文件
. |; }4 f4 `# f0 X3 `( ]* D8 f（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
4 a& W8 y6 i6 M/ _, C. i出注册表文件
（7）检查注册表中的一下各项   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
  un   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
, ~) O$ ^' Q# u% |# T  q  unOnce   
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R   
2 ^! u8 ]& P% o" I2 d% t  unServices   
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer   
$ Q1 ?5 {. y/ K+ S  sion\Run   
  删除刚才记录的文件名键值
, L) V8 q5 x2 G" h& w* l（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
% ~9 |( ]6 ?) i到这么多补丁，但实际上安装的时候按照以下方式安装即可：   
  Win2k:先安装sp4   然后安装下面的HOTFIX，具体可供过微软站搜索下载   
, N4 s( S2 c) i0 ]& G$ m' Q  Windows2000-KB824146-x86-CHS.exe   
/ I9 T7 C; R" J% b" w, E  Windows2000-KB835732-x86-CHS.EXE   
  Windows2000-KB828749-x86-CHS.exe   
  Windows2000-KB828035-x86-CHS.exe   
) h- q0 r- d) Y) ^  WinXP：先安装SP1   然后安装下面列出的HOTFIX（SP2   出来了可以直接
- p" a# [5 ^! b" F% z4 q( d. P- U! e安装SP2   省去很多麻烦）:   
  WindowsXP-KB824146-x86-CHS.exe   
  WindowsXP-KB828035-x86-CHS.exe   
6 i  n& M. U5 N, o" Y! q' a  WindowsXP-KB835732-x86-CHS.EXE   
1 j  k, I4 q" w3 H7 A  （9）将具有系统管理员权限的用户的口令设置为7   位以上的复杂密码
需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
6 T" @$ U# h0 {5 g, h0 S5 o) n系统仍然不安全，非常有必要通过windows   update   更新其它关键的更新。