论坛: 病毒专区 标题: 病毒解析,谁能帮我? 复制本贴地址    
作者: linyuan_25 [linyuan_25]    论坛用户   登录
我的机子中毒了,中得就是下面的个病毒,但是我把它杀掉之后,重启机子后,又会出现这样的病毒,一直都没有办法解决,之后我就在网上找了一下看有没有解决的办法,如果就找到了下面这一篇文章,但它上面只说了它的一些特性之类的东西,具体就没有解决的方法,不知道大家有没有解决的办法,可以帮我一下吗,真如下面说的那样,我都被烦死了。



Backdoor/NorBot.i解决方案


Backdoor/NorBot.i

病毒长度:大约105 KB

病毒类型:后门

危害等级:**

影响平台:Win9X/2000/XP/NT/Me/2003

Backdoor/NorBot.i试图通过网络共享中的弱密码进行传播,允许攻击者用一个特定的IRC频道访问被感染的计算机。常用PE_Patch和UPX软件进行压缩。

利用微软漏洞进行传播,包括:

MS03-026:DCOM RPC漏洞

MS03-007:WebDav漏洞

MS03-049:Workstation service缓冲区溢出漏洞

MS03-043:Messenger Service缓冲区溢出漏洞

MS03-001:Locator service漏洞

MS01-059:UPnP漏洞

MS02-061:Microsoft SQL Server 2000和MSDE 2000审计漏洞

传播过程及特征:

1.在系统目录下复制自身为; %System%\nwiz.exe。

2.修改注册表:

/添加键值"Norton Wizzard"="nwiz.exe"到启动项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

/删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的值:"Ssate.exe" 、"rate.exe" 、"d3dupdate.exe" 、

"TaskMon" 和"Explorer"。

3.结束一些安全软件及其相关的进程。

4.删除文件:

%System%\irun4.exe

%System%\i11r54n4.exe

%System%\winsys.exe

%System%\bbeagle.exe

%System%\taskmon.exe

5.删除系统服务upnphost。

6.修改文件%System%\drivers\etc\hosts,导致连接一些网站失败。

7.随机选择TCP端口运行FTP服务器。

8.连接一个IRC频道等待远程指令,从而允许攻击者执行下列操作:

通过FTP和HTTP下载上传文件

执行命令

列举并结束进程

列举并终止服务

进行HTTP flood、 ICMP flood、 SYN flood、 UDP flood攻击

搜索邮件地址并进行保存

通过HTTP搜索邮件地址

搜索假设的URL

9.通过向一些站点发送HTTP GET请求来测量被感染计算机的连接速度。

10.利用一些蠕虫打开的后门端口进行传播。

11.删除一些病毒添加的文件以及注册表键值,并结束它们的相关进程。

12.盗取Windows的生产ID号和一些视频游戏的CD keys。

13.利用下列共享复制自身到他人计算机:

c$ d$ e$ print$ admin$

取得共享权限使用的用户名和密码是通过NetUserEnum()函数得到的。

地主 发表时间: 04-06-09 09:30
回复: jacker [jacker]   论坛用户   登录
传播过程及特征:

1.在系统目录下复制自身为; %System%\nwiz.exe。

2.修改注册表:

/添加键值"Norton Wizzard"="nwiz.exe"到启动项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

/删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的值:"Ssate.exe" 、"rate.exe" 、"d3dupdate.exe" 、

"TaskMon" 和"Explorer"。


这些不就是病毒的加载体了吗???  删除指定文件.及清除注册表相关加载键值... 其他的还请自己仔细看看...

B1层 发表时间: 04-06-10 15:24
回复: linyuan_25 [linyuan_25]   论坛用户   登录
这些我都已经试过了,不顶事的,有没有什么更好的办法呀?

B2层 发表时间: 04-06-12 09:45
回复: jacker [jacker]   论坛用户   登录
1. 可能是变种
2,根本不是说明中的病毒
3。把相关的病毒程序打个包过来看看。

B3层 发表时间: 04-06-12 11:01

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号