一、病毒特征:
在被植入Zotob.a蠕虫后会产生如下特征:
1、在TCP33333端口开启一个FTP服务。
2、产生随机IP地址,并试图进行扫描感染这些地址的主机,通过利用即插即用服务(Plug and Play )漏洞(MS05-039),蠕虫会在目标系统上打开TCP8888端口的后门。
3、复制%System%\2pac.txt文件到新感染的系统上,并执行其中的FTP脚本。
4、通过本地开启的FTP服务,下载%System%\ botzor.exe文件并在新目标上执行。
5、文件zotob-a.exe-1运行后复制自身到 %windir%\system32\botzor.exe。
6、注册的启动方式
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
botzor.exe C:\WINNT\system32\botzor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
botzor.exe C:\WINNT\system32\botzor.exe
7、造成机器重新启动
机器不断地重新启动,并提示services.exe出乎意料终止。(见下图)
二、防范方法
1)获得相应系统的最新的微软补丁,下载地址:
http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx
2)在防火墙或者IP安全策略上阻止以下端口:
TCP 139/445
TCP 8080
TCP 33333
二、手工清除该蠕虫的相关操作
遭受感染后,应先断开网络,再进行蠕虫的清除。手工清除该蠕虫的相关操作如下:
1、注册表的恢复
1)打开注册表编辑器
2)在左边的面板中打开HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,在右边的面板中删除蠕虫文件"botzor.exe"的键值
3)在左边的面板中打开HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunService,在右边的面板中删除蠕虫文件"botzor.exe"的键值
2、删除蠕虫释放的文件
分别在%system%下搜索botzor.exe、2pac.txt和haha.exe文件并将之删除。
3、恢复微软自带防火墙的运行在左边的面板中打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess在右边的面板中找到Start并且将其键值改为0x00000003
4、删除蠕虫在Hosts文件中屏蔽的网站。
5、运行杀毒软件,对系统进行全面的病毒查杀。
6、安装微软MS05-039公告的补丁
http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx
三、防护建议
1、建议用户立即修补漏洞,链接如下
http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx
2、加强管理,专网应与外网严格隔离,防止不必要的感染。
3、遭受感染后,应先断开网络,再进行蠕虫的清除。
4、关注蠕虫出现的变种,及时升级杀毒软件,启动实时监控。 |
