请问这种蠕虫病毒怎么杀?Net-Worm.Win32.kido.ih
1个回答
展开全部
当启动时,蠕虫将它的代码注入一个“svchost.exe”系统进程的地址空间。(该蠕虫还可能将它的代码写进 “explorer.exe” 和 “services.exe” 进程。)这个代码递送蠕虫的主要恶意有效荷载,并且:
1. 禁止以下服务:
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend, WinDefender)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
2. 阻止访问包含以下字串的地址:
nai
ca
avp
avg
vet
bit9
sans
cert
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
在Windows Vista中,该蠕虫将禁止TCP/IP的自动配置文件,目的是使用一个固定的window大小的TCP堆加速通过网络通道传播:
netsh interface tcp set global autotuning=disabled
该蠕虫还挂住以下 API调用(dnsrslvr.dll),目的是阻止访问用户域的列表:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
蠕虫可能从下面显示的链接下载文件:
http://<URL>/search?q=<%rnd2%>
rnd2 是随机数;URL是根据当前的日期使用特殊的运算法则生成的链接。蠕虫从下面显示的一个站点获取当前的日期:
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
http://www.myspace.com
http://www.msn.com
http://www.ebay.com
http://www.cnn.com
http://www.aol.com
下载的文件以原名保存到Windows系统目录。
处理方法
如果您的计算机没有更新到最新的反病毒数据库,或根本没有安装反病毒程序,您可以使用特殊的删除工具 (在这里可以找到)或按照下面说明执行:
1. 删除下面的系统注册表键值: system registrykey:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
2. 从下面显示的系统注册表键值删除“%System%\.dll” :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"
3. 恢复以下注册表键值:
[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"
to
[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000001"
"SuperHidden" = "dword: 0x00000001"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000000"
to
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000001"
4.重新启动计算机
5. 删除原始蠕虫文件(它的位置将根据程序最初是如何侵入计算机而定)。
6. 删除蠕虫复制的文件:
%System%\<rnd>dir.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>tmp
%Temp%\<rnd>.tmp
为任意字符串。
7. 从所有移动存储介质中删除显示的文件: class=pre><X>:\autorun.inf
<X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-
%d%>\<rnd>.vmx,
8. 从下面的地址下载和更新操作系统:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
1. 禁止以下服务:
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend, WinDefender)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
2. 阻止访问包含以下字串的地址:
nai
ca
avp
avg
vet
bit9
sans
cert
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
在Windows Vista中,该蠕虫将禁止TCP/IP的自动配置文件,目的是使用一个固定的window大小的TCP堆加速通过网络通道传播:
netsh interface tcp set global autotuning=disabled
该蠕虫还挂住以下 API调用(dnsrslvr.dll),目的是阻止访问用户域的列表:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
蠕虫可能从下面显示的链接下载文件:
http://<URL>/search?q=<%rnd2%>
rnd2 是随机数;URL是根据当前的日期使用特殊的运算法则生成的链接。蠕虫从下面显示的一个站点获取当前的日期:
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
http://www.myspace.com
http://www.msn.com
http://www.ebay.com
http://www.cnn.com
http://www.aol.com
下载的文件以原名保存到Windows系统目录。
处理方法
如果您的计算机没有更新到最新的反病毒数据库,或根本没有安装反病毒程序,您可以使用特殊的删除工具 (在这里可以找到)或按照下面说明执行:
1. 删除下面的系统注册表键值: system registrykey:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
2. 从下面显示的系统注册表键值删除“%System%\.dll” :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"
3. 恢复以下注册表键值:
[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000002"
"SuperHidden" = "dword: 0x00000000"
to
[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000001"
"SuperHidden" = "dword: 0x00000001"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000000"
to
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000001"
4.重新启动计算机
5. 删除原始蠕虫文件(它的位置将根据程序最初是如何侵入计算机而定)。
6. 删除蠕虫复制的文件:
%System%\<rnd>dir.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>tmp
%Temp%\<rnd>.tmp
为任意字符串。
7. 从所有移动存储介质中删除显示的文件: class=pre><X>:\autorun.inf
<X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-
%d%>\<rnd>.vmx,
8. 从下面的地址下载和更新操作系统:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
上海国想
2024-12-02 广告
文件被勒索病毒加密后,上海国想科技发展有限公司建议立即断开网络连接,防止病毒扩散。接着,评估损失,备份未加密的重要数据,并确保备份设备未被感染。随后,使用专业的反病毒软件或解密工具进行扫描和清除。如果自行解密无效,及时联系专业的计算机安全服...
点击进入详情页
本回答由上海国想提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
