60秒自動關機病毒解決方法

60秒自動關機病毒解決方法
時間: 2007-10-09 22:24:48 | [<<] [>>]

手工清除病毒方法：
手動殺毒辦法：

1、 在任務管理器裡面結束botzor.exe進程

2、 運行REGEDIT，打開注冊表編輯器，刪除病毒在注冊表中添加的啟動項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"WINDOWS SYSTEM" = botzor.exe

3、將病毒在系統目錄下創建botzor.exe文件刪除,大小為22528字節。

專殺工具: □
□
點擊瀏覽該文件

8 月15日,金山反病毒應急處理中心截獲一個針對微軟系統嚴重漏洞進行主動攻擊的病毒，並命名為Zotob(Worm.Zotob.A)。金山的反病毒專家說，Zotob病毒利用漏洞主動傳播，對於個人電腦的危害非常大，其危害程度與當年的震盪波相似，一旦被攻擊，用戶的電腦將會出現不斷重啟、系統不穩定等情況。病毒作者叫囂殺掉這個病毒的殺毒軟件將於24小時內被剿殺！
Zotob利用5天前微軟剛剛公布的嚴重系統漏洞，Windows Plug and Play 服務漏洞 (MS05-039)，攻擊TCP端口445，和沖擊波、震盪波方法類似，攻擊代碼向目標系統的445端口發送漏洞代碼，使目標系統造成緩沖區溢出，同時運行病毒代碼，進行傳播。

　　病毒攻擊目標系統時，可能造成系統不斷重啟（如圖示），與震盪波、沖擊波發作的時候類似，隻不過在Zotob影響的進程變了，變為系統關鍵進程“Service.exe”， Zotob其實是Mytob的最新變種。Mytob是前一陣大肆泛濫的郵件病毒。此次變種，更是加入了5天前才公布漏洞補丁的系統嚴重漏洞（Windows Plug and Play 服務漏洞 (MS05-039) ）進行主動攻擊，使其大大提高了病毒傳播的廣度。因此，Zotob除了利用漏洞攻擊外，還具有郵件傳播、自動下載新病毒等等這些與郵件病毒所具有的危害，使中毒用戶遭受打擊。


病毒運行後，將在系統目錄下創建botzor.exe文件,大小為22528字節。在注冊表中添加下列啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "WINDOWS SYSTEM" = botzor.exe

這樣，在Windows啟動時，病毒就可以自動執行。


“ 極速波”病毒通過TCP端口8080連接IRC服務器，接受並執行黑客命令。可導致被感染計算機被黑客完全控制。並在TCP端口33333開啟FTP服務，提供病毒文件下載功能。利用微軟即插即用服務遠程代碼執行漏洞（MS05-039）進行傳播。如果漏洞利用代碼成功運行，將導致遠程目標計算機從當前被感染計算機的FTP服務上下載病毒程序。如果漏洞代碼沒有成功運行，未打補丁的遠程計算機可能會出現services.exe進程崩潰的現象。 ?t□□
該病毒的危害還在於，病毒會修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量國外反病毒和安全廠商的網址。並對反病毒廠商提出公開挑戰：第一個發現的反病毒軟件 將在24小時內遭到“剿殺”。（MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!）

關於MS05-039:

Microsoft Windows即插即用緩沖區溢出漏洞（MS05-039）

影響系統：
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1?□
Microsoft Windows Server 2003
Microsoft Windows 2000SP4


Microsoft Windows即插即用（PnP）功能允許操作系統在安裝新硬件時能夠檢測到這些設備。

Microsoft Windows即插即用功能中存在緩沖區溢出漏洞，成功利用這個漏洞的攻擊者可以完全控制受影響的系統。

起因是PnP服務處理包含有過多數據的畸形消息的方式。在Windows 2000上，匿名用戶可以通過發送特制消息來利用這個漏洞；在Windows XP Service Pack 1上，隻有通過認証的用戶才能發送惡意消息；在Windows XP Service Pack 2和Windows Server 2003上，攻擊者必需本地登陸到系統然後運行特制的應用程序才能利用這個漏洞。

該代碼危害極大,可以遠程獲得計算機的全部權限而該電腦隻要連接到INTELNET或者局域網內即可,還可以制作Zotob類似病毒,請勿使用該代碼從事非法活動!

注意如果不採取防護措施,即使什麼都沒有做也會中毒同震盪波一樣!

提醒大家升級殺毒軟件,及時打好系統補丁

該代碼危害極大,可以遠程獲得計算機的全部權限而該電腦隻要連接到INTELNET或者局域網內即可,還可以制作Zotob類似病毒,請勿使用該代碼從事非法活動!
注意如果不採取防護措施,即使什麼都沒有做也會中毒同震盪波一樣!
�
先鋒提醒大家升級殺毒軟件,及時打好系統補丁

廠商補丁：

Microsoft

Microsoft已經為此發布了一個安全公告（MS05-039）以及相應補丁:
MS05-039：Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
鏈接：http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx?pf=true

補丁下載：

Microsoft Windows 2000 Service Pack 4 □ 下載更新：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F

Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2 □ 下載更新：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=9A3BFBDD-62EA-4DB2-88D2-415E095E207F


病毒分析報告.

病毒評估
1．病毒英文名：Worm.Zotob
2．病毒類型：蠕蟲病毒 □BR>3．病毒危險等級：★★★☆
4．病毒傳播途徑：網絡
5．病毒依賴系統：WIN 2000/XP/2003
二、病毒破壞

1．造成系統頻繁重啟
當病毒攻擊失敗的時候，會造成系統頻繁重啟。

2、給系統開設後門

3、修改系統文件，使用戶的殺毒軟件不能升級。
三、技術分析

一旦執行,病毒將執行以下操作:

1. 病毒啟動後，會將自己復制到系統目錄中，病毒文件名為“botzor.exe”。

2、在注冊表中添加下列啟動項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WINDOWS SYSTEM" = botzor.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"WINDOWS SYSTEM" = botzor.exe; □
3、在感染的時候，病毒利用IP掃描的方式在網絡中尋找具有漏洞的系統，發現後就會對系統進行攻擊，連接系統的445端口，並植入系統中一個遠程SHELL，此遠程SHELL釋放一個文件 2PAC.TXT，此文件中包含有一段FTP命令腳本，功能是利用FTP從遠程將病毒文件下載到本地。

4、如果攻擊失敗，則造成系統重啟。

5、修改系統的host文件，添加如下內容：

Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! □
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com □
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
造成用戶不能訪問上述網站，使相關殺毒軟件不能升級。