| 金山毒霸反病毒实验室6月24日发出最新病毒预警:一种名为“寄生虫”(Win32.Hack.JRbot.a)的攻击型病毒会通过KaZaA
等P2P工具共享目录来诱使别人下载运行,使受感染的机器疯狂发攻击包,使联网计算机变慢、还会导致系统一些程序不能用。目前该病毒正在国内蔓延。
该病毒也可能通过mIRc进行传播。它还会利用一些病毒所开设的后门进行传播。另外它也利用了Windows的LSASS缓冲区溢出漏洞来攻击别的机器来达到传播的目的。
它会拷贝自身到%System%\msnotepad.exe(伪装的非常象记事本的应用程序),对特定的服务器发动sos攻击,利用了9x共享密码cache漏洞,绕过密码保护直接拷贝自身到局域网其它机器的共享目录,对于nt系统则猜测弱密码进行攻击,记录用户帐号密码并存到%system%\keylogs.txt,通过邮件发送到特定邮箱,通过irc泄露本机信息,如:操作系统,ip地址,用户名等。在被感染的机器随即端口开设后门,允许攻击者运行一些特殊命令。
解决方案:请使用金山毒霸2004年06月24日的病毒库可完全处理该病毒;不要运行或打开陌生或可疑程序。请访问db.kingsoft.com
浏览相关信息安全信息。或致电反病毒热线010-82386868寻求帮助。
手工解决方案:
首先,如果系统为WinMe或WinXP,则请先关闭系统还原功能;
(毒霸论坛:反病毒可能需要用到的方法及操作
> 如何禁用Win
Me/XP的“系统还原”功能)
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统安装目录(默认的系统安装目录为c:\windows\system32),输入以下命令,以便删除病毒程序:
C:\windows\system32>del msnotepad.exe
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
在右边的面板中, 找到并删除如下项目:
"Microsoft Synchronization Manager"="%System%\msnotepad.exe"
同理删掉
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的
Microsoft Synchronization Manager=%system%\msnotepad.exe
|
|
English
