这是一个利用微软漏洞进行传播的蠕虫病毒 。它利用微软操作系统的MS08-067漏洞 , 将自己植入未打补丁的电脑 , 并以局域网、U盘等多种方式传播 。病毒运行后会进行以下操作: 1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统 , 如果是病毒才继续执行; 2、给病毒所在进程添加 SeDebugPrivilege 权限 , 对本机计算机名称进行 CRC32 计算 , 通过得到的 CRC32 值创建病毒互斥量 , 判断自己是否是 rundll32.exe 程序启动的; 3、判断是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 进程 , 将自己代码放到那两个中的一个里面去 , 然后修改注册表不显示隐藏文件; 4、针对services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"进程进行DNS查询以及TCP传输过程拦截; 5、针对杀毒软件关键字进行过滤 , 其中包含 rising、avast、nod32、mcafee 等等 。使当前中毒计算机无法访问安全厂商的网站; 6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务 , 并且改为手动; 7、枚举网络计算机的用户名和自带的密码表 , 利用 IPC$; ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动 , 创建自身到 RECYCLER、System32文件夹下面 , 尝试访问 http://www.getmyip.org等网站得到中毒计算机的IP 。通过访问http://www.google.com、http://www.baidu.com等等网站得到当前月数 。再通过时间经过内置算法计算病毒的升级链接 , 方便病毒作者不更新 。解决方法: 1、及时更新微软系统补丁(最新微软漏洞补丁参见“瑞星微软安全公告); 2、发现上述关键系统服务被非人为修改为手动时 , 及时修改成原系统状态 , 配合杀毒软件查毒(瑞星全功能安全软件2009 30天免费试用:http://rsdownload.rising.com.cn/for_down/rsfree/RavD97.exe); 3、局域网中计算机统一规定不能使用弱密码或者空密码(更多安全知识参见“瑞星安全频道); 4、及时升级本机杀毒软件 。
;
推荐阅读
- Worm.Win32.Autorun.smn 七月终结者病毒病毒分析报告
- Trojan.Giframe病毒相关说明
- 电脑病毒的祖先-磁蕊大战
- 计算机病毒的传染机制
- 恶意网页病毒十三大症状分析及修复方法
- 识别电脑病毒基础知识
- 硬盘终结者病毒解决办法
- 秋茬西红柿定植后要及时防治病毒病
- 病毒应急处理中心提醒防范高波病毒及其变种
- 巧用 Windows 系统控制台删除病毒文件