震盪波電腦病毒特徵及清除方法介紹
震盪式電腦病毒很多,危害也大,電腦中了該怎麼辦呢!下面由小編給你做出詳細的震盪式電腦病毒特徵及清除方法介紹!希望對你有幫助!
震盪式電腦病毒特徵及清除方法介紹:
震盪式電腦病毒特徵:
1.感染系統為:Windows 2000、Windows Server 2003、Windows XP、Windows 7
2.利用微軟的漏洞:MS04-011;
3.病毒執行後,將自身複製為%WinDir%\napatch.exe
4.在登錄檔啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創系統日誌中出現相應記錄
系統日誌中出現相應記錄
建:"napatch.exe" = %WinDir%\napatch.exe;這樣,病毒在Windows啟動時就得以執行。
5.在TCP埠5554建立FTP服務,用以將自身傳播給其他計算機。
6.隨機在網路上搜索機器,向遠端計算機的445埠傳送包含後門程式的非法資料,遠端計算機如果存在MS04-011漏洞,將會自動執行後門程式,打開後門埠9996。病毒利用後門埠9996,使得遠端計算機連線病毒開啟的FTP埠5554,下載病毒體並執行,從而遭到感染。
7.病毒還會利用漏洞攻擊LSASS.EXE程序,被攻擊計算機的LSASS.EXE程序會癱瘓,Windows系統將會有1分鐘倒計時關閉的提示。
8.病毒在C:\win32.log中記錄其感染的計算機數目和IP地址。
震盪式電腦病毒清除方法:
1. 病毒執行時會建立一個名為:"BILLY"的互斥量,使病毒自身不重複進入記憶體,並且病毒在記憶體中建立一個名為:"msblast"的程序,使用者可以用工作管理員將該病毒程序終止。
2. 病毒執行時會將自身複製為:%systemdir%\msblast.exe,使用者可以手動刪除該病毒檔案。
注意:%Windir%是一個變數,它指的是作業系統安裝目錄,預設是:"C:\Windows"或:"c:\Winnt",也可以是使用者在安裝作業系統時指定的其它目錄。%systemdir%是一個變數,它指的是作業系統安裝目錄中的系統目錄,預設是:"C:\Windows\system"或:"c:\Winnt\system32"。
3. 病毒會修改登錄檔的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,在其中加入:"windows auto update"="msblast.exe",進行自啟動,使用者可以手工清除該鍵值。
4. 病毒體內隱藏有一段文字資訊:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
5. 當病毒攻擊失敗時,可能會造成沒有打補丁的Windows系統RPC服務崩潰,Windows XP系統可能會自動重啟計算機。該蠕蟲不能成功攻擊Windows Server2003,但是可以造成Windows Server2003系統的RPC服務崩潰,預設情況下是系統反覆重啟。
6. 病毒檢測到當前系統月份是8月之後或者日期是15日之後,就會向微軟的更新站點"windowsupdate"發動拒絕服務攻擊,使微軟網站的更新站點無法為使用者提供服務。
- 震盪波電腦病毒特徵及清除方法介紹
- 參加培訓心得體會範文6篇_參加培訓班心得體會
- 經典鞋子的廣告詞大全
- 下雪圖片大全唯美傷感精選
- 房地產出納實習心得體會
- 難忘的第一次做飯初中作文
- 乒乓球單打比賽規則
- 草原上的河流閱讀練習及答案
- 幼兒有哪些春節禮儀
- 不倒翁不倒的原因是什麼
- 蘋果公司的人力資源管理方法
- 教師賞識學習心得體會範文
- 反胃的原因是什麼
- 小孩有時頭痛什麼原因
- 軸對稱的剪紙簡單圖案大全
- 枇杷酒的養生功效_女人喝枇杷酒有什麼好處
- 關於問路的英語對話小短文
- 白帶純白色無異味是什麼原因
- 孕婦保養面板的方法孕婦保養面板的技巧
- 喉嚨疼的原因
- 康熙字典五行屬金的字
- 康熙字典五行屬木的字
- 康熙字典五行屬水的字
- 康熙字典五行屬火的字
- 康熙字典五行屬土的字