论坛: 病毒专区 标题: 我的爱机中了W32.Randex.gen病毒了 复制本贴地址    
作者: ferry007 [ferry007]    论坛用户   登录
我的爱机中了W32.Randex.gen病毒了,诺顿升到最新了,还是解决不了,上网找解决的方法但好象各个论坛都不能给出有效的解决方法.我把希望寄托在这里了.希望能有大虾能帮帮我.谢谢啦.小弟已经被这个病毒困扰了好久了.救救我吧.

地主 发表时间: 04-07-25 21:11

回复: 边城小狗 [jmboydong]   论坛用户   登录
转贴:
W32.Randex 蠕虫公告


W32.Randex蠕虫是一个通过445端口传播的蠕虫,它会扫描网络上有脆弱管理员密码的机器,
并使用下面的连接符
\Admin$\system32\msmonk32.exe
\c$\winnt\system32\msmonk32.exe
将自身拷贝过去。
同时它会从自身付带的IRC聊天室列表中的特定频道中接收指令来触发蠕虫。

影响系统:
Windows NT, Windows 2000, Windows XP

详细信息:
一旦蠕虫感染系统后,将做如下操作:

1、拷贝自身到%System%\gesfm32.exe。

2、计算一些随机的ip地址进行传播。

3、尝试对上述随机产生的地址进行连接测试使用下表中列出的口令:

admin
root
1
111
123
1234
123456
654321
!@#$
asdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
server

4、如果有机器存在弱口令,他就使用下列网络连接符
\\\Admin$\system32\gesfm32.exe
\\\c$\winnt\system32\gesfm32.exe
将自己拷贝过去

5、在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
项中添加如下值:
"Microsoft Netview"="%System%\gesfm32.exe"

6、连接到特定的irc聊天室的特定频道去接收远程的指令,这些指令包括:

网络扫描:扫描网络上存在弱密码用户的机器并将自身拷贝过去

网络攻击:发送大量的窗口值大小为55808字节的tcp包造成网络dos攻击,目前已知一
台机器发起的这种攻击就可以使某些型号的交换机CPU负载达到100%
系统信息:得到被感染机器的部分信息,如cpu的速率,内存的大小等


解决方法:

1、 手动解决办法:
1.在系统进程中停止gesfm32.exe进程
2.删除系统中gesfm32.exe文件
3.删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
项中的"Microsoft Netview"="%System%\gesfm32.exe"值

2、使用杀毒软件查杀
升级到最新的病毒库并作全盘扫描,查到该病毒后选择删除




B1层 发表时间: 04-07-25 21:30

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号