震蕩波電腦病毒特征及清除方法介紹

1、震蕩波電腦病毒特征及清除方法介紹震蕩式電腦病毒很多，危害也大，電腦中了該怎么辦呢面由 小編給你做出詳細(xì)的震蕩式電腦病毒特征及清除方法介紹望對你有幫助！震蕩式電腦病毒特征及清除方法介紹：震蕩式電腦病毒特征：1. 感染系統(tǒng)為：Windows 2000、Windows Server 2003Windows XP、Windows 72. 利用微軟的漏洞：MS04-011;3. 病毒運行后，將自身復(fù)制為 WinDir%napatch.exe4. 在 注 冊 表 啟 動HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndows'Current Versio nRun 下

2、創(chuàng)系統(tǒng)日志中出現(xiàn)相應(yīng)記錄系統(tǒng)日志中出現(xiàn)相應(yīng)記錄建：&qu ot; napatch.exe&qu ot;=%WinDir%napatch.exe; 這樣，病毒在 Windows 啟動時就得以 運行。5.在TCP端口 5554建立FTP服務(wù)，用以將自身傳播給其 他計算機。6. 隨機在網(wǎng)絡(luò)上搜索機器，向遠(yuǎn)程計算機的445端口發(fā)送包含后門程序的非法數(shù)據(jù)，遠(yuǎn)程計算機如果存在MS04-011漏洞，將會自動運行后門程序，打開后門端口 9996。病毒利用后門端口 9996， 使得遠(yuǎn)程計算機連接病毒打開的FTP端口 5554，下載病毒體并運行， 從而遭到感染。7. 病毒還會利用漏洞攻擊 LSAS

3、S.EXE進程，被攻擊計算機 的LSASS.EXE進程會癱瘓，Windows系統(tǒng)將會有1分鐘倒計時關(guān) 閉的提示。8. 病毒在C:win32.log中記錄其感染的計算機數(shù)目和IP地震蕩式電腦病毒清除方法：1.病毒運行時會建立一個名為："BILLY"的互斥量，使病毒自身不重復(fù)進入內(nèi)存，并且病毒在內(nèi)存中建立一個名 為:"msblast"的進程，用戶可以用任務(wù)管理器將該病毒進程終止。2. 病毒運行時會將自身復(fù)制為:systemdir%msblast.exe,用戶可以手動刪除該病毒文件。注意:Windir%是一個變量，它指的是操作系

4、統(tǒng)安裝目錄，默認(rèn)是:"C:Windows"或:"c:Winnt",也可以是用戶在安裝操作系統(tǒng)時指定的其它目錄。%systemdir%是一個變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄，默認(rèn) 是：&qu ot;C:Wi ndowssyste m&qu ot;或:"c:Wi nn tsystem32"。3. 病毒會修改注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndows'CurrentVersionRun項， 在其 中加入：&a

5、mp;quot;windowsauto,進行自啟動，用戶可update&qu ot;二&qu ot;msblast.exe&qu ot;以手工清除該鍵值。4. 病毒體內(nèi)隱藏有一段文本信息：I just want to say LOVE YOU SAN!billy gates why do you make this possible ? Stop making money and fix your software!5. 當(dāng)病毒攻擊失敗時，可能會造成沒有打補丁的Windows 系統(tǒng)RPC服務(wù)崩潰，Windows XP系統(tǒng)可能會自動重啟計算機。該 蠕蟲不能成功攻擊Windows Server2003 ，但是可以造成Windows Server2003系統(tǒng)的RPC服務(wù)崩潰，默認(rèn)情況下是系統(tǒng)反復(fù)重啟。6. 病毒檢測到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后，就會向微軟的更新站點""發(fā)動拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新站