|
|
发表于 2004-7-16 08:13:44
|
显示全部楼层
W32.Korgo.[A-I]是一个新的利用windows LSASS漏洞传播的蠕虫病毒,同样会造成系统重启或无法关机。
该病毒只感染windows xp/2k系统,但D变种会感染win xp/2k/NT/Me/98/2003等几乎所有windows系统。
1。病毒特征
*使系统出现Lsass出错重启或无法关机的现象;
*随机生成进程名并复制到windows系统文件夹,通常为
C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP);
*在系统注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
位置添加键值 "WinUpdate" = C:\WINDOWS\System32\[random name] .exe
其中该键值名字可能是以下的一种:
WinUpdate , SysTray , System Restore Service, Update Service,
Disk Defragmenter Windows Update
(分别对应于变种ABG,C,D,E,F,HI)
*在系统注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless\
位置添加键值 "Server"="1" 或 "Client"="1".
*监听113, 2041, 3067 或其他随机TCP端口并通过该端口传播自身;
*使用随机 IP 地址尝试利用 TCP 端口 445 上的 LSASS Windows 漏洞(Microsoft
安全公告 MS04-011 中说明)。如果该蠕虫成功找到可攻击的计算机,该计算机将
尝试通过该蠕虫打开的一个 TCP 端口回连受感染的计算机。
* 连接moscow--dvokat.ru等IRC服务器的6667端口接受命令;
特别的,对于I,H,F 变种
*尝试将一个功能作为线程插入 Explorer.exe
如果成功,该线程将继续在 Explorer.exe 进程内运行。 这将使得以上的三步操
作看起来都是由 Explorer.exe 执行,查看 Windows 任务管理器的进程列表时
并不会显示该蠕虫,
如果不成功,它将继续作为自己的进程运行。
2。清除建议
打上相关windows补丁(windows update 或 ftp://162.105.74.167 下载);
禁用系统还原。
然后
升级反病毒软件的病毒库至最新日期,进入安全模式,全面扫描,
删除注册表中以上键值。
或
对于I,H,F变种,在断开网络的情况下使用Symantec专杀工具FxKorgo, |
|
狗仔卡
提升卡
置顶卡
变色卡
恢复卡