殭屍病毒

殭屍病毒介紹

圖片/照片:殭屍病毒.jpg(放大)

殭屍病毒是一種來自東歐的網路病毒，全球受害者預估已超過7.5萬台計算機，包括政府計算機系統、在線銀行、Yahoo!、Hotmail以及Facebook等社交網路都對這種病毒缺乏免疫能力。病毒將這些電腦構成了一個龐大而危險的「殭屍網路」，從中竊取大量重要秘密。

殭屍網路病毒通過連接IRC伺服器進行通信從而控制被攻陷的計算機。殭屍網路(英文名稱叫BotNet)，是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網路攻擊，如分散式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也都可被黑客隨意「取用」。因此，不論是對網路安全運行還是用戶數據安全的保護來說，殭屍網路都是極具威脅的隱患。殭屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而，發現一個殭屍網路是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網路上的「殭屍主機」，這些主機的用戶往往並不知情。因此，殭屍網路是目前互聯網上黑客最青睞的作案工具。

編輯以上介紹 我要留言

殭屍病毒網站

1. 搜狐新聞：殭屍病毒入侵全球電腦 190國政府企業資料遭竊

各類相關信息

病毒特徵

• 連接IRC伺服器；
  • 連接頻道：#26#，密碼：g3t0u7。
  • 連接IRC伺服器的域名、IP、連接埠情況如下：

• 掃描隨機產生的IP地址，並試圖感染這些主機；
• 運行后將自身複製到System\netddesrv.exe；
• 在系統中添加名為NetDDE Server的服務，並受系統進程services.exe保護。

清除方法

該蠕蟲在安全模式下也可以正常運行。但可以通過清除註冊表的方式在正常模式下清除蠕蟲。手工清除該蠕蟲的相關操作如下：

• 斷開網路；
• 恢復註冊表；

打開註冊表編輯器，在左邊的面板中打開並刪除以下鍵值： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv

• 需要重新啟動計算機；
• 必須刪除蠕蟲釋放的文件；

刪除在system下的netddesrv.exe文件。（system是系統目錄,在win2000下為c:\winnt\system32，在winxp下為c:\windows\system32）

• 運行殺毒軟體，對電腦系統進行全面的病毒查殺；
• 安裝微軟MS04-011、MS04-012、MS04-007漏洞補丁。