|
- UID
- 265556
- 帖子
- 2009
- 精华
- 0
- 威望
- 0
- 阅读权限
- 100
- 性别
- 男
- 注册时间
- 2005-2-11
|
2#
发表于 2005-7-9 22:09
| 只看该作者
似乎是WIN32病毒的变种,但网上还有没有其资料,按我和病毒对战这些年的经验来说:
找开隐藏文件看看有没有那个文件,删除它,有一些是删除不了,就到注册表删。再到注册表搜索文件名删除它。反正两个不可缺少,再重新开启计算机,再找找。
有一例是这样的,在这个
LOCAL_MACHINE---SOFTWARE---MICROSOFT--WINDOWS--CURENTVERSIONS--RUN 把带有-service有关的键值删掉就可以了
--------------------------------------------------------------------------------
-- 作者: 云儿
-- 发布时间: 2005/04/07 10:57pm
Worm@W32.Toxbot
Toxbot会透过系统漏洞来散播,请客户要泡网做系统更新
Worm@W32.Toxbot是一只网络骇虫,它会开启已中毒计算机上的IRC后门,并且会藉由系统的漏洞来散播。
基本介绍
病毒名称 Worm@W32.Toxbot
病毒别名 W32.Toxbot
病毒型态 Worm
病毒发现日期 2005/03/11
利用漏洞
MS04-011(英文)
MS04-011(中文)
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中
Worm@W32.Toxbot 行为描述:
注:在Win95/98/me %System% 默认值为 C:\windows\System
在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32
骇虫会装置一个后门程序并允许远程的骇客透过IRC频道从已中毒的计算机来散播感染。
后门程序允许远程骇客运行下列的各项行为:
Log keystrokes
End processes
Steal cached passwords
Steal system information
Download remote files
骇虫会生成下列的服务:
Distributed Link Tracking Service
骇虫会开启在下列各项领域其中之一的TCP port6556上的一个后门:
i.randomized.it
0x90.devtech.us
0x41.memzero.info
透过病毒运行后,将骇虫本身复制到%System%
random file name.exe.
TrkWksvc.exe
[random file name]通常会有8个特征,可能的例子包括:
TrkWksrv.exe
dxdllsvc.exe
ciclient.exe
更改登录档,如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\[random file name]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\[random file name]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\TrkWksvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\TrkWksvc
名称=(Default) 值=Service |
|
