病毒种类:恶性蠕虫
病毒威胁:安装远程控制后门,扩散过程可能造成网络堵塞。
病毒介绍:
该蠕虫属于黑客行为的蠕虫病毒,它通过扫描Win2k或者XP的445端口,然后进行共享会话猜测管理员系统口令。如果猜测到口令,则蠕虫建立管理会话,用psexec.exe程序通过共享上传蠕虫文件,在被感染的主机上,在注册表中Software\Microsoft\Windows\CurrentVersion\Run设置启动项,以便病毒能够在系统启动的时候加载运行。蠕虫会在主机上开启VNC后门,该后门开启5800和5900端口,能够进行远程控制。蠕虫开启扫描进程,对随机生成的IP地址进行扫描来传播感染其他主机。
建议用户用下面办法来检查是否被病毒感染:
查看系统进程是否存在Dvldr32.exe,以确认是否被病毒感染,如果您的系统被感染,那么可以结束该进程,并在正确的目录下删除相应的蠕虫文件和注册表键值,然后重新启动系统。
建议解决办法:
网管用户:
在路由器等设备上作相应端口的过滤,具体做法如下:
access-list 110 deny udp any any eq 1434(因SQL SLAMMER病毒又有增多的迹象)
access-list 110 deny tcp any any eq 445
access-list 110 deny tcp any any eq 5800
access-list 110 deny tcp any any eq 5900
access-list 110 deny 255 any any
access-list 110 deny 0 any any
access-list 110 permit ip any any
终端用户:
采取如下措施:
(1) 为Administrator设置一个强壮的密码。
(2) 中止名为dvldr32.exe的进程。
(3) 删除如下异常文件:
| 文件名 | 可能出现的目录 | 长度 |
| dvldr32.exe | %windir%/system32(NT/2K) %windir%/system(9x) | 745,98 |
| explorer.exe | %windir%/fonts | 212,992 |
| omnithread_rt.dll | %windir%/fonts | 57,344 |
| VNCHooks.dll | %windir%/fonts | 32,768 |
| rundll32.exe | %windir%/fonts | 29,336 |
| cygwin1.dll | %windir%/system32(NT/2K) %windir%/system(9x) | 944,968 |
| INST.exe | C:Documents and SettingsAll UsersStart MenuProgramsStartup C:WINDOWSStart MenuProgramsStartupinst.exe C:WINNTAll UsersStart MenuProgramsStartupinst.exe | 684,562 |
(4) 重新启动机器。
(5) 如无必须,建议关闭5800、5900端口
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/
关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073