论坛: 病毒专区 标题: 近来频繁收到带有W32.Netsky.B@mm病毒的邮件! 复制本贴地址    
作者: poemail [poemail]    论坛用户   登录
我近来频繁收到带有W32.Netsky.B@mm病毒的邮件!标题大致是几个英文,不知道大家收到没有,我上GOOGLE搜索了一趟,把它的清除方法写出来!!!


美国网络协会(Network Associates)的防病毒技术研究机构McAfee AVERT(Anti-Virus Emergency Response Team)将新发现的蠕虫“W32/Netsky.b@MM”的危险程度定为“中”。这是美国网络协会在当地时间2月18日宣布的。美国赛门铁克也将该蠕虫的危险程度定为“3”。

  Netsky.b进行自我复制后用随机生成的文件名发送至在感染计算机上找到的电子邮件地址。并将自身以文件名“SERVICES.EXE”复制到系统文件夹%windir%上,随后在注册表上添加'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "service"=C:\WINNT\services.exe -serv'。

  此外,由于可以将自身复制到C至Z驱动器上包含“shared”或“sharing”词语的共享文件夹,所以也有可能通过P2P网络感染。发送邮件时附件为类似“rtf.pif”的双重文件名或“.ZIP”文件。

  McAfee AVERT的研究人员自当日发现该蠕虫后,每小时总计接到40~50个客户提供的病毒样本或病毒感染邮件。McAfee AVERT仅当天就收到世界各地客户发来的近200个样本,其中大部分据说都来自荷兰。

  用户如果发现以如下词组开头的电子邮件时,就立即将其删除!



·I have your password!·about me·anything ok?·do you?·from the chatter·greetings·hello·here·here is the document.·here it is·here, the cheats·here, the introduction·here, the serials·hi·i found this document about you·i hope it is not true!·i wait for a reply!·i'm waiting·information about you·is that from you?·is that true?·is that your account?·is that your name?·kill the writer of this document!·my hero·ok·read it immediately!·read the details.·reply·see you·something about you!·something is fool·something is going wrong·something is going wrong!·stuff about you?·take it easy·that is bad·that's funny·thats wrong why?·what does it mean?·yes, really?·you are a bad writer·you are bad·you earn money·you feel the same·you try to steal·your name is wrong









W32.Netsky.B@mm 杀毒工具上次更新时间: February 18, 2004 05:19:54 PM [input]  [input]  [input] 
赛门铁克安全响应中心开发了一种杀毒工具,可用来清除 W32.Netsky.B@mm 的感染。
此工具的功能
W32.Netsky.B@mm 杀毒工具具有下列功能:
  终止 W32.Netsky.B@mm 病毒进程。
  删除 W32.Netsky.B@mm 文件。
  删除蠕虫加入的注册键值。

此工具可用的命令行转换参数


Switch

Description

/HELP, /H, /?
显示帮助消息。
/NOFIXREG
禁用注册表修复。(建议不使用此转换参数。)
/SILENT, /S
启用静默模式。
/LOG=<path name>
创建日志文件,其中 <path name> 是存储该工具输出内容的位置。默认情况下,此转换参数会在执行该杀毒工具的文件夹内创建日志文件 FxNetskyB.log。
/MAPPED
扫描映射的网络驱动器。(建议不使用此转换参数。请参考以下注意事项。)
/START
强制此工具立即开始扫描。
/EXCLUDE=<path>
不扫描指定的 <path>。(建议不使用此转换参数。)
/NOFILESCAN
不掃描文件系統。

---------------------------------
注意:使用 /MAPPED 转换参数不能保证完全杀除远程计算机上的病毒,原因如下:
  扫描映射驱动器时扫描的只是映射的文件夹。此操作可能不包括远程计算机上的所有文件夹,造成检测遗漏。
  如果在映射驱动器上检测到病毒文件,而远程计算机上的某个程序正在使用该文件,则无法进行杀毒。
基于以上原因,请分别在每台计算机上运行此工具。

---------------------------------

/EXCLUDE 转换参数只能处理一个路径,而不能处理多个路径。除此方法之外,还可以使用 /NOFILESCAN 转换参数,然后使用 AntiVirus 进行手动扫描。这将使得该工具修改注册表。然后,通过 AntiVirus 使用最新的病毒定义对计算机进行扫描。执行这些操作应该能够清理文件系统。

以下是一个示例命令行,可以用来排除单个驱动器:
>"C:\Documents and Settings\user1\Desktop\FxNeskyB.exe" /EXCLUDE=M:\ /LOG=c:\FxNeskyB.txt

或者,下面的命令行将跳过文件系统扫描,但将修复对注册表所做的修改。然后,应使用正确的排除项运行常规系统扫描:
>"C:\Documents and Settings\user1\Desktop\FxNeskyB.exe" /NOSCANFILE /LOG=c:\FxNeskyB.txt


---------------------------------
注意:
  大于号 (>) 不是路径的一部分。
  日志文件的名称可以是您选择的任何名称。此处所列的名称仅用于此示例。

---------------------------------

获得并运行此工具

---------------------------------
注意:在 Windows NT 4.0、Windows 2000 或 Windows XP 上,需要具有管理权限才能运行此工具。
---------------------------------
警告:适用于网络管理员。如果正在运行 MS Exchange 2000 Server,建议您从命令行使用 Exclude 转换参数运行该工具,从而排除对 M 驱动器的扫描。不管是否进行此操作,在运行该工具之前都需要备份 M 驱动器上的所有数据。更多信息,请阅读 Microsoft 知识库文章 "XADM: Calendar Items Disappear from User's Folders" (文章ID 299046).
---------------------------------

  从以下位置下载 FxNeskyB.exe 文件:http://securityresponse.symantec.com/avcenter/FxNeskyB.exe
  将该文件保存到方便的位置,如您的下载文件夹或 Windows 桌面(如果可能,保存到确认未感染病毒的可移动介质中)。
  要检查数字签名的可靠性,请参考“数字签名”部分。
  关闭所有正在运行的程序。
  断开与网络的连接。
  如果运行的是 Windows Me 或 XP,请禁用系统还原功能。有关其他详细信息,请参考“Windows Me/XP 中的系统还原选项”部分。

---------------------------------
注意:如果运行的是 Windows Me/XP,强烈建议不要跳过此步骤。
---------------------------------

  双击 FxNeskyB.exe 文件以启动杀毒工具。
  单击 Start 启动此进程,然后运行此工具。
  重新启动计算机。
  再次运行此杀毒工具以确保系统是干净的。
  如果运行的是 Windows Me/XP,请重新启用系统还原功能。
  运行 LiveUpdate,确保您使用的病毒定义是最新的。

此工具运行完毕后,将会出现一条消息,表明计算机是否受到 W32.Netsky.B@mm 的感染。删除蠕虫后,程序将显示下列结果:
  已扫描的文件总数。
  已删除的文件数。
  已修订的文件数。
  已终止的病毒进程数。
  修订的注册表键数。
数字签名
FxNeskyB.exe 是经过数字签名的。Symantec 建议您只使用从 Symantec 安全响应中心网站直接下载的 FxNeskyB.exe 副本。要检查数字签名的可靠性,请执行下列操作:
  转至 http://www.wmsoftware.com/free.htm。
  将 Chktrust.exe 文件下载并保存到 FxNeskyB.exe 所在的文件夹(例如,C:\Downloads)中。
  根据您使用的操作系统,执行下列操作之一:
      单击“开始”,指向“程序”,然后单击“MS-DOS 方式”。
      单击“开始”,指向“程序”,再单击“附件”,然后单击“命令提示符”。

  切换到存储 FxNeskyB.exe 与 Chktrust.exe 的文件夹,然后键入:
chktrust -i FxNeskyB.exe

例如,如果将文件保存在 C:\Downloads 文件夹,则应输入下列命令:
cd\
cd downloads
chktrust -i FxNeskyB.exe

键入每个命令后按 Enter 键。如果数字签名有效,将显示下列内容:
"Do you want to install and run "FxNeskyB.exe" signed on 02/18/2004 11:07 AM and distributed by Symantec Corporation?"

注意
      如果您的计算机没有设置为太平洋时区,则显示在此对话框中的日期和时间将根据您所在的时区进行调整。
      如果使用的是夏令时,则显示的时间要早整整一个小时。
      如果未出现此对话框,可能存在两个原因:
        此工具不是由 Symantec 提供的。除非确定此工具是从合法 Symantec 网站下载的合法工具,否则不要运行它。
        此工具是来自 Symantec 的合法工具,但您曾经将操作系统设置为始终信任来自 Symantec 的内容。有关此问题以及如何再次查看确认对话框的信息,请参阅文档:如何还原“生产商可靠性”确认对话框。


  单击 Yes 关闭对话框。
  键入 Exit,然后按 Enter 键。此操作将关闭 MS-DOS 会话。
Windows Me/XP 中的系统还原选项
Windows Me 和 Windows XP 用户应当暂时关闭系统还原功能。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

同样,在某些情况下,联机扫描程序也可能在 System Restore 文件夹中检测到威胁,即使您已经使用防病毒程序扫描过计算机,并且未发现任何受感染文件。






screen.width-333) {this.width=screen.width-333;this.title='open new window';}" border=0 ;>
screen.width-333) {this.width=screen.width-333;this.title='open new window';}" border=0 ;>



地主 发表时间: 04-03-13 21:03

回复: 灵魂黑客 [bridex]   论坛用户   登录
关注中...

B1层 发表时间: 04-03-14 21:24

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号