震蕩波電腦病毒特征及清除方法介紹
震蕩波電腦病毒特征及清除方法介紹
震蕩式電腦病毒很多,危害也大,電腦中了該怎么辦呢!下面由學習啦小編給你做出詳細的震蕩式電腦病毒特征及清除方法介紹!希望對你有幫助!
震蕩式電腦病毒特征及清除方法介紹:
震蕩式電腦病毒特征:
1.感染系統為:Windows 2000、Windows Server 2003、Windows XP、Windows 7
2.利用微軟的漏洞:MS04-011;
3.病毒運行后,將自身復制為%WinDir%\napatch.exe
4.在注冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創系統日志中出現相應記錄
系統日志中出現相應記錄
建:"napatch.exe" = %WinDir%\napatch.exe;這樣,病毒在Windows啟動時就得以運行。
5.在TCP端口5554建立FTP服務,用以將自身傳播給其他計算機。
6.隨機在網絡上搜索機器,向遠程計算機的445端口發送包含后門程序的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行后門程序,打開后門端口9996。病毒利用后門端口9996,使得遠程計算機連接病毒打開的FTP端口5554,下載病毒體并運行,從而遭到感染。
7.病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓,Windows系統將會有1分鐘倒計時關閉的提示。
8.病毒在C:\win32.log中記錄其感染的計算機數目和IP地址。
震蕩式電腦病毒清除方法:
1. 病毒運行時會建立一個名為:"BILLY"的互斥量,使病毒自身不重復進入內存,并且病毒在內存中建立一個名為:"msblast"的進程,用戶可以用任務管理器將該病毒進程終止。
2. 病毒運行時會將自身復制為:%systemdir%\msblast.exe,用戶可以手動刪除該病毒文件。
注意:%Windir%是一個變量,它指的是操作系統安裝目錄,默認是:"C:\Windows"或:"c:\Winnt",也可以是用戶在安裝操作系統時指定的其它目錄。%systemdir%是一個變量,它指的是操作系統安裝目錄中的系統目錄,默認是:"C:\Windows\system"或:"c:\Winnt\system32"。
3. 病毒會修改注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,在其中加入:"windows auto update"="msblast.exe",進行自啟動,用戶可以手工清除該鍵值。
4. 病毒體內隱藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
5. 當病毒攻擊失敗時,可能會造成沒有打補丁的Windows系統RPC服務崩潰,Windows XP系統可能會自動重啟計算機。該蠕蟲不能成功攻擊Windows Server2003,但是可以造成Windows Server2003系統的RPC服務崩潰,默認情況下是系統反復重啟。
6. 病毒檢測到當前系統月份是8月之后或者日期是15日之后,就會向微軟的更新站點"windowsupdate.com"發動拒絕服務攻擊,使微軟網站的更新站點無法為用戶提供服務。
看了“震蕩式電腦病毒特征及清除方法介紹”文章的還看了:
2.電腦病毒清除方法
4.電腦病毒震蕩波