病毒介紹:
者變種c(worm.randex.c)病毒是“窺探者”病毒的第二個變種,它在老病毒的基礎上將病毒服務器的ip改為:217.21.117.104,目的是為了躲避封殺,以便能更好地控製被感染的計算機。同前幾個版本病毒一樣,該病毒會釋放一個病毒程序並建立三個係統後門等待遠程病毒服務器的操縱指令,給用戶帶來極大的安全隱患。
病毒的發現與清除
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
1、病毒運行時會建立30個綫程,利用網絡掃描技術隨機掃描網絡,如果發現有連接的計算機,病毒會利用猜密碼的方法試圖獲得用戶密碼,當病毒獲取密碼成功後,會將自身拷貝成: admin$system32msmsgri32.exe與c$winntsystem32msmsgri32.exe。用戶可以尋找自己的計算機的上述目錄,如果發現有該病毒文件,則證明已經被感染,可直接將該病毒刪除。
2、病毒會通過修改註册表的自啓動項來進行自啓動,病毒會修改: hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun,在其中加入名為:“mssyslanhelper”的註册表鍵值。用戶可以用regedit等註册表編輯工具直接刪除病毒産生的鍵值,以防止病毒自啓動。
3、病毒運行後會釋放出一個後門病毒並運行,此後門病毒運行時會試連接217.21.117.104網站的54545端口,等待該網站的後門命令。用戶可以用抓包工具監測該端口,看是否有異常。如果發現異常,可以使用防火墻軟件進行端口禁止或者使用“tcp/ip篩選” 功能,禁止該端口。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了窺探者變種c(worm.randex.c)病毒。為避免用戶遭受損失,瑞星公司已於截獲該病毒當天就進行了升級,目前瑞星用戶衹需及時升級手中的軟件即可徹底攔截此病毒。
瑞星反病毒專傢的安全建議:
1. 建立良好的安全習慣。
例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太瞭解的網站、不要執行從 internet 下載後未經殺毒處理的軟件等,這些必要的習慣會使您的計算機更安全。
2. 關閉或刪除係統中不需要的服務。默認情況下,許多操作係統會安裝一些輔助服務,如 ftp 客戶端、telnet 和 web 服務器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3. 經常升級安全補丁。據統計,有80%的網絡病毒是通過係統安全漏洞進行傳播的,象紅色代碼、尼姆達等病毒,所以我們應該定期到微軟網站去下載最新的安全補丁,以防範未然。
4. 使用復雜的密碼。有許多網絡病毒就是通過猜測簡單密碼的方式攻擊係統的,因此使用復雜的密碼,將會大大提高計算機的安全係數。
5. 迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6. 瞭解一些病毒知識。這樣就可以及時發現新病毒並采取相應措施,在關鍵時刻使自己的計算機免受病毒破壞:如果能瞭解一些註册表知識,就可以定期看一看註册表的自啓動項是否有可疑鍵值;如果瞭解一些內存知識,就可以經常看看內存中是否有可疑程序。
7. 最好是安裝專業的防毒軟件進行全面監控。在病毒日益增多的今天,使用毒軟件進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟件之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、遇到問題要上報, 這樣才能真正保障計算機的安全。 |
|
|