高波和瑞波

高波： Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。

　　瑞波：该病毒经过多层压缩加密壳处理，可以利用多种系统漏洞进行传播，感染能力很强。中毒计算机将被黑客完全控制，成为"僵尸电脑"。由于此病毒会扫描感染目标，因此可以造成局域网拥堵。

高波：

　　第一种

　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。

　　2、高波手工清除：打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁，在系统目录下找到病毒文件名为Medman.exe，并将其删除。

　　第二种

　　1、进入任务管理器，结束winaii.exe和netlink32.exe进程，然后打开资源管理器，进入c:windowssystem32目录，查找winaii.exe和netlink32.exe两文件，将其删除。在系统启动项目(开始>运行>msconfig进入)中去掉其相应的加载启动项。然后安装杀毒软件，升级病毒库后进行杀毒。接着安装相应windowsXP或windows2000的补丁程序，重启系统。

　　2、如果按如上的方法不能清除病毒，可以从安全模式下进行处理，方法如下：在安全模式下，打开注册表，在“编辑”中“查找”“winaii.exe”和“netlink32.exe”,删除找到的“winaii.exe”和“netlink32.exe”项目。查看windowssystem32目录下是否有winaii.exe和netlink32.exe这两个文件，有则删除。最后杀毒、打补丁并重启计算机。

　　3、该病毒具有密码库，能够破解机子的一些较简单的密码(密码仅包含数字或26个字母称为简单密码)，尤其是对于windows2000系统，往往刚杀完病毒后又染上该病毒了。所以建议在杀毒的过程中最好断开网络连接，确定杀完病毒和打好补丁(MS03-007、MS03-026、MS04-011、MS04-031补丁)后，为机子重设一个复杂的密码(密码包含问号，点号等特殊符号)。

瑞波：

　　手工清除：在系统目录下找到病毒文件msxml32.exe，在注册表中找到键值msxml32.exe，将其删除。打上微软MS03-007、MS03-026、MS04-011、MS04-031四个漏洞补丁

四、“CHM木马”

　　病毒名称：Exploit.MhtRedir
　　病毒中文名：“CHM木马”
　　病毒类型：木马、脚本
　　危险级别：★★
　　影响平台：Windows98/ME/NT/2000/XP/2003

　　描述：

　　利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本，自从2003年以来，一直是国内最为流行的种植网页木马的恶意代码类型，2005年下半年，泛滥趋势稍有减弱，2006年上半年的感染数量仍然很大，没有短期内消亡的迹象。

　　手工清除方法：

　　打上微软MS03-014和MS04-023系统漏洞补丁，找到以下病毒和配置文件并将其删除：

　　%SystemDir%dllcachepk.bin,3680字节，病毒配置文件

　　%SystemDir%dllcachephantom.exe,393216字节，病毒程序

　　%SystemDir%dllcachekw.dat,803字节，病毒配置文件

　　%SystemDir%dllcachephantomhk.dll,8704字节，病毒模块

　　%SystemDir%dllcachephantomi.dll,215040字节，病毒模块

　　%SystemDir%dllcachephantomwb.dll,40960字节，病毒模块

　　在注册表中定位到键值，并将该键值删除：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]"Phantom"=%SystemDir%dllcachephantom.exe

五、“QQ大盗”

　　病毒名称：Trojan/QQPass
　　病毒中文名：“QQ大盗”
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win9X/2000/XP/NT/Me

　　描述：Trojan/QQPass.ak是用Delphi编写并经过压缩的木马，用来窃取游戏"传奇"信息。

　　传播过程及特征：

　　1.创建下列文件：

　　%System%winsocks.dll,91136字节

　　%Windir%intren0t.exe,91136字节

　　2.修改注册表：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"Intren0t"=%Windir%intren0t.exe

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]"Intren0t"=%Windir%intren0t.exe

　　这样，在Windows启动时，病毒就可以自动执行。

　　注：%Windir%为变量，一般为C:Windows或C:Winnt;%System%为变量，一般为C:WindowsSystem(Windows95/98/Me),C:WinntSystem32(WindowsNT/2000),或C:WindowsSystem32(WindowsXP)。

　　手工清除：

　　在系统目录找到病毒文件winsocks.dll和intren0t.exe，并将其删除。打开注册表并定位到以下键值，将键值删除：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"Intren0t"=%Windir%intren0t.exe

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]

　　"Intren0t"=%Windir%intren0t.exe

[本文共有 4 页，当前是第 1 页] <<上一页 下一页>>