第一时间教你防范“狙击波”
黑客·安全
剖析“狙击波”行为
1.病毒运行后,将创建下列文件:%SystemDir%\botzor.exe, 22528字节
2.在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
这样,在Windows启动时,病毒就可以自动执行。
3.通过TCP端口8080连接IRC服务器,接受并执行黑客命令。可导致被感染计算机受黑客完全控制。
4.在感染的时候,病毒利用IP扫描的方式在网络中寻找具有漏洞的系统,发现后就会对系统进行攻击,连接系统的445端口,并植入系统中一个远程SHELL。然后开启FTP服务,如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。
5.修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并有下列文本:
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!(病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀!)造成用户不能访问上述网站,使相关杀毒软件不能升级。
病毒防范策略
防火墙防毒方案
瑞星防火墙
(1)在瑞星防火墙主界面中,单击“设置”菜单下的“IP规则设置”命令,随即弹出规则设置界面。
(2)单击“规则”菜单下的“添加”按钮打开添加规则对话框,在该对话框中可以定义规则,从而允许、禁止特定类型的网络通信。
金山网镖
(1)运行金山网镖,点击“工具”菜单下的“配置选项”命令,弹出一个“配置选项”窗口。
(2)选择“高级”选项卡,并点击“添加”按钮,在弹出的“端口”窗口中进行设置。
(3)首先在“端口”选项中设置为“445”,然后在“操作”选项中设置为“禁止”选项,其他的选项按照默认设置即可。
(4)完成设置,点“确定”退出就可以对445端口进行封堵。
江民黑客防火墙
(1)启动江民黑客防火墙,并打开规则设置对话框。
(2)点击“添加规则”按钮,在弹出的“防火墙规则设定”窗口中进行设置。
(3)按照如下说明增加TCP过滤规则:在“名称”选项中设置为“关闭445端口”,接着点击“TCP”规则选项卡,然后在“端口”选项设置为“445”、“对方端口”为“任一端口”,最后在“当所有条件满足时”选项中设置为“拦截”。
手工防御方案
使用网络防火墙封堵系统默认打开的TCP 445端口,切断病毒入侵的途径,如果没有网络防火墙可以使用的话,可以通过对本地注册表进行设置达到关闭445端口的目的,进而防范病毒的入侵。由于TCP 445端口在Windows 2000、XP以及Windows Server 2003系统中,是专门通过TCP/IP协议直接运行SMB来共享文件、打印机以及串行端口,而对于普通的个人用户来说,我们根本不需要使用这个端口,所以即使没有出现“狙击波”病毒,用户也应该尽早地关闭445端口。
点击“开始”菜单中的“运行”命令,输入“regedit”命令打开注册表编辑器。依次找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters项,然后在编辑窗口的右边空白处点击鼠标右键,在弹出的 “新建”菜单中选择“DWORD值”,将新建的DWORD参数命名为“SMBDeviceEnabled”,数值为缺省的“0”。退出注册表编辑器,重启机器后,再运行“netstat –an”命令进行查看,你将会发现系统的445端口已经不再Listening(监听)了。
当然对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些良好的习惯会使你的计算机更安全。
手工清除方案
1.在任务管理器里面结束botzor.exe进程
2.运行regedit,打开注册表编辑器,删除病毒在注册表中添加的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS?SYSTEM"?=?botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS?SYSTEM"?=?botzor.exe
3.将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。
专杀工具推荐与漏洞补丁下载
安装最新版本的杀毒软件,并且升级到最新的病毒库防止该病毒的入侵和完全查杀该病毒。如果暂时没有杀毒软件可以使用的话,可以下载由金山公司、江民公司等推出的专杀工具进行查杀。
瑞星专杀工具:http://download.rising.com.cn/zsgj/RavWormZotob.exe
金山专杀工具:http://db.kingsoft.com/download/othertools/DubaTool_Zotob.EXE
江民专杀工具:http://forum.jiangmin.com/kvrt.rar
使用Windows系统自带的 Update功能尽快安装上最新的补丁。微软5天前发布的补丁中,公告号为MS05-039的补丁即为修补该漏洞的最新补丁,打上最新补丁可保证系统免受病毒入侵。
MS05-039漏洞补丁:
http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx
最后专家进一步强调,由于目前该病毒主要攻击Win2000操作系统,在此系统下病毒传播速度和危害比“冲击波”有过之而无不及。而对于Win XP操作系统,病毒在传播上暂时存在一定的缺陷,目前尚无法感染设有超级管理员密码的XP系统。专家指出,正是由于这一点,“狙击波”才未能造成类似于“冲击波”那样大范围的危害,而令人担心的是,由于许多电脑用户安全意识薄弱,XP系统未设定管理员密码的人不在少数,假如病毒作者对病毒技术进行改进,增加口令枚举和暴力破解技术, 那么,病毒造成的后果将会比目前严重10倍,所以安装XP系统的电脑用户千万不能掉以轻心。