震荡波电脑病毒特征及清除方法介绍
震荡式电脑病毒很多,危害也大,电脑中了该怎么办呢!下面由学习啦小编给你做出详细的震荡式电脑病毒特征及清除方法介绍!希望对你有帮助!
震荡式电脑病毒特征及清除方法介绍:
震荡式电脑病毒特征:
1.感染系统为:Windows 2000、Windows Server 2003、Windows XP、Windows 7
2.利用微软的漏洞:MS04-011;
3.病毒运行后,将自身复制为%WinDir%\napatch.exe
4.在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创系统日志中出现相应记录
系统日志中出现相应记录
建:"napatch.exe" = %WinDir%\napatch.exe;这样,病毒在Windows启动时就得以运行。
5.在TCP端口5554建立FTP服务,用以将自身传播给其他计算机。
6.随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染。
7.病毒还会利用漏洞攻击LSASS.EXE进程,被攻击计算机的LSASS.EXE进程会瘫痪,Windows系统将会有1分钟倒计时关闭的提示。
8.病毒在C:\win32.log中记录其感染的计算机数目和IP地址。
震荡式电脑病毒清除方法:
1. 病毒运行时会建立一个名为:"BILLY"的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:"msblast"的进程,用户可以用任务管理器将该病毒进程终止。
2. 病毒运行时会将自身复制为:%systemdir%\msblast.exe,用户可以手动删除该病毒文件。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:"C:\Windows"或:"c:\Winnt",也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:"C:\Windows\system"或:"c:\Winnt\system32"。
3. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入:"windows auto update"="msblast.exe",进行自启动,用户可以手工清除该键值。
4. 病毒体内隐藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
5. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
6. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。
看了“震荡式电脑病毒特征及清除方法介绍”文章的还看了:
2.电脑病毒清除方法
4.电脑病毒震荡波
