快捷搜索:   nginx

安全防范之手工删除假警察的方法

(1) 打开注册表编辑器,删除如下键值<如果存在的话>:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  Sassfix=%SYSTEM%\package.exe

  (2) 打开任务管理器查看是否存在进程名为:package.exe(文件为%SYSTEM%\package.exe)终止它

  (3) 将%SYSTEM%\system,C:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及C:\Documents and Settings\All Users\Start Menu\Programs\Starup目录下的文件:package.exe删除。

  注:%SYSTEM%是Windows系统的核心动态库所在目录,在Windows9X/ME下默认为:C:\WINDOWS\SYSTEM,Windows 2000/XP下默认为:C:\WINNT\SYSTEM32。

  相关内容:

  “假警察”(Worm.Win32.Dabber.a) 利用“震荡波”的后门及系统MS-4011漏洞进行传播,会尝试清除系统里的“震荡波”、“恶鹰”、“网络天空”等多个电脑病毒,可能造成系统异常。占用大量网络资源,可能会造成企业局域网运行缓慢甚至瘫痪。

  Windows 9X(可感染,但无危害)NT/2000/XP(可危害)

  1.复制自己到系统目录并实现自启动

  病毒运行后,将自己复制到%SYSTEM%目录,c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中,文件名为:package.exe。在注册表HKEY_LOCAL_MACHINE\SOFTWARE

  \Microsoft\Windows\CurrentVersion\Run中加入自己的键值:sassfix=%system%\package.exe,病毒使用"sas4dab"为互斥量。

  2.试图清除一些病毒的注册表键值:

  尝试删除注册表Run项中的以下键值,使之不能正常启动:

以下是引用片段:
  Video Process.
  TempCom.
  SkynetRevenge
  MapiDrv
  BagleAV
  System Updater Service
  soundcontrl
  WinMsrv32
  drvddll.exe
  navapsrc.exe
  skynetave.exe
  Generic Host Service
  Windows Drive Compatibility
  windows.Microsoft Update
  Drvddll.exe
  Drvddll_exe
  drvsys
  drvsys.exe
  ssgrate
  ssgrate.exe
  lsasss
  lsasss.exe
  avserve2.exe
  avvserrve32.avserve

  3.建立四个线程实现一些功能。

  (1)后门:

  病毒监视9898端口,等待客户端的连接。该后门可以执行一些如:执行文件,从特定网站下载文件等功能。

  (2)TFTP服务器:

  病毒监听69端口,实现一个tftp服务器,一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。

  (3)一个空线程:

  病毒作者并没有实现任何代码。(可能下个版本将实现)

  (4)利用漏洞进行攻击

  病毒利用本地系统的ip进行计算,找到攻击目标地址并尝试对其5554端口(震荡波的后门)的连接。

  A.如果联接失败:

  病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过),失败(目标系统没有被病毒感染)时病毒利用MS04-011漏洞对目标系统进行攻击,并利用自己的tftp服务器将自己复制过去。

  B.联接成功:

  病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用震荡波的后门将自己复制过去.

顶(0)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论