|
|
其实就是飞客蠕虫病毒Conficker,也被称作Kido,Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染。建议打一下补丁再用专杀工具进行杀毒!
注意:打补丁很重要,虽然打补丁也不能100%的杜绝此类病毒,但可以大大降低被感染的概率,打补丁后,删除两次就没了,不打补丁,杀掉病毒肯定马上又会被感染.
专杀工具:http://tools.micropoint.com.cn/A00000016
手动解决办法:
1.当然是余毒未尽,安全模式下杀毒
2.直接禁用计划任务,输入:(这是winxp上的解决方法,win7下的解决方法见下面)
BatchFile code:
net stop schedule /y
sc config schedule start= disabled
3.如禁用了病毒还能正常开启,直接删除:
BatchFile code:
sc delete schedule /y
4.如删除了病毒还能自动恢复,直接删除:
BatchFile code:
net stop schedule /y
sc delete schedule /y
del c:\windows\schedsvc.dll /s /f
md c:\windows\system32\schedsvc.dll\test..\
echo y|cacls c:\windows\system32\schedsvc.dll /d everyone
中毒现象:
1、局域网被杀毒软件频繁报警发现Kido病毒却屡杀不尽,造成网络瘫痪
2、可移动磁盘根目录存在Autorun.inf,删除时系统提示没有权限删除
3、每次启动计算机后RPC服务奔溃,导致诸如网络共享等功能无法使用?
技术分析:
该蠕虫病毒是一种到目前变种极多,且多数使用了变形加密手段逃避杀毒软件查杀。Kido蠕虫使用Microsoft Windows的MS08067漏洞在局域网内大肆传播,造成网络瘫痪,该蠕虫病毒在溢出过程中由于其他因素可能造成网络共享不能够正常使用。
该病毒传播到本地后调用如Rundll32.exe加以随机7位字符的参数执行病毒加载功能,然后以远程线程注入方式将自身植入Svchost.exe进程获取系统服务权限,如果远程线程执行失败则改用APC方式。该病毒使用了独占打开方式,使之其他程序无法对其进行打开,绕过了杀毒软件扫描功能。
当该蠕虫以服务权限运行后,则开启多个线程实现病毒传播功能:
获取本地IP地址段,通过ARP方式判断主机是否存活,如果存活则对其进行溢出,溢出成功后将自身副本文件拷贝到对方IE临时目录中。
监视本地可移动磁盘设备消息,如果发现可移动磁盘插入,拷贝自身副本到磁盘CREYLE目录中,释放经过变形的Autorun.inf指向rundll32.exe执行病毒文件,对所释放的病毒文件更换NTFS所有者SID,使得计算机中正常用户对其没有访问权限。
win7下执行上面的命令会提示拒绝访问, win7下的解决方法:
1、参考http://www.it168bbs.com/thread-6145-1-1.html 禁止掉计划任务服务
2、使用系统服务删除工具删除掉计划任务服务
3、del c:\windows\schedsvc.dll /s /f 注意:需要以管理员身份运行cmd, 并且如果提示拒绝访问,可更改c:\windows\system32\schedsvc.dll这个文件的系统属性,使管理员拥有完全访问权限,如果还是不行,可以用深山红叶winpe启动,然后修改schedsvc.dll这个文件的系统属性,使管理员拥有完全访问权限,然后运行del c:\windows\schedsvc.dll /s /f,这个访问肯定可以,我已经多次使用过。
4、echo y|cacls c:\windows\system32\schedsvc.dll /d everyone
|
|
|手机版|小黑屋|电脑计算机论坛
( 京ICP备2022023538号-1 )
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡