‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[转载]funny病毒分析及解决方法

冰血封情

老林

团队决策人

Rank: 9Rank: 9Rank: 9

E.S.T运营责任人

帖子
6819 
精华
834 
积分
36070 
阅读权限
255 
性别
男 
来自
中国 
在线时间
586 小时 
注册时间
2004-6-25 
最后登录
2008-9-6 

优秀管理奖 资料收集奖 原创技术奖 核心建议奖

楼主 发表于 2004-10-14 11:43  只看该作者

[转载]funny病毒分析及解决方法

信息来源:nsfocus

  绿盟科技安全小组监测到互联网上出现了一个利用MSN Messenger和QQ传播的蠕虫,目前在国内的传播面比较大。由于该蠕虫修改了重要的注册表键值,不恰当地清除蠕虫可能导致系统无法登陆。

受影响的软件及系统:
  ====================
  Microsoft Windows 95
  Microsoft Windows 98
  Microsoft Windows ME
  Microsoft Windows NT 4
  Microsoft Windows 2000
  Microsoft Windows XP
  Microsoft Windows 2003  
综述:
  绿盟科技安全小组监测到互联网上出现了一个利用MSN Messenger和QQ传播的蠕虫,目前在国内的传播面比较大。由于该蠕虫修改了重要的注册表键值,不恰当地清除蠕虫可能导致系统无法登陆。 

分析:
  该蠕虫在系统上运行后,会进行以下动作:  

  1、将自身拷贝为:

  %SystemRoot%\rundll32.exe

  %SystemRoot%\system32\IEXPLORE.EXE

  %SystemRoot%\system32\explorer.exe

  %SystemRoot%\system32\userinit32.exe  

  2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

  NT\CurrentVersion\Winlogon

  下的"Userinit"修改为指向%SystemRoot%\system32\userinit32.exe。

  在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加运行

  %SystemRoot%\rundll32.exe的项。  

  3、修改%system32%\drivers\etc\hosts文件,将大量域名指向222.89.98.219,这样,用户访问这些

  域名的时候,实际访问的是222.89.98.219。  

  4、蠕虫会同时运行自身的多个拷贝,如果其中一个进程被中止,则其余进程会立即将它再运行。

  5、如果系统运行了QQ或者MSN Messenger,蠕虫会向每一个联系人发送一条消息,包括一句话和一个

  指向http://www.78p.com/的链接,并试图将自身以文件"funny.exe"传输。
  

  解决方法:

  ==========  

  预防:  

  如果您接收到包含http://www.78p.com/的消息,和funny.exe的文件传输请求,请拒绝。  

  检查是否被感染:  

  检查系统中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,则说明可能已经被

  蠕虫感染。  

  清除:  

  对于Windows 2000/XP,请按照下面步骤进行:  

  1、在命令提示符中输入下列命令,将蠕虫改名:

   ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir

   ren %SystemRoot%\system32\explorer.exe explorer.exe.vir

   ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir

   ren %SystemRoot%\rundll32.exe rundll32.exe.vir  

  2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

  NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为

  %SystemRoot%\system32\userinit.exe。
  
  3、重启系统  

  4、在命令提示符中输入下列命令,删除蠕虫文件:

   del %SystemRoot%\system32\IEXPLORE.EXE.vir

   del %SystemRoot%\system32\explorer.exe.vir

   del %SystemRoot%\system32\userinit32.exe.vir

   del %SystemRoot%\system32\bsfirst2.log

   del %SystemRoot%\rundll32.exe.vir  

  4、修改注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下

  的"MMSystem"项。  

  5、在命令提示符中输入下列命令,修复hosts文件:

   type %SystemRoot%\system32\drivers\etc\hosts find /v "222.89.98.219" > hosts.tmp

   copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts

   del hosts.tmp  

  如果已经不恰当地删除了蠕虫,并导致系统无法正常登陆。请按照如下步骤进行:  

  1、用Windows 2000(或者Windows XP/2003)安装光盘引导系统,在"欢迎使用安装程序"的

   界面上按"R"键,选择修复。  

  2、然后按"C"键选择使用故障恢复控制台。  

  3、键入一个数字,选择某个Windows 安装,通常是"1"。然后输入管理员密码。  

  4、进入system32目录,输入命令:

   del userinit32.exe

   copy userinit.exe userinit32.exe  

  5、重启系统,将上面介绍的清除蠕虫的办法再进行一遍。

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题