【注意】蠕虫病毒

Thermo

如果是"巨鹰"的蠕虫病毒,被感染的windows系统的注册表被修改可能有以下三种情况：

1：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SALSA = "%SYSTEM%\SALSA.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
SALSA = "%SYSTEM%\SALSA.EXE"
2：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
DEJAS="C:\WINDOWS\SYSTEM\DEJAS.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
DEJAS="C:\WINDOWS\SYSTEM\DEJAS.EXE"
3：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
LOCAS="C:\WINDOWS\SYSTEM\LOCAS.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
LOCAS="C:\WINDOWS\SYSTEM\LOCAS.EXE"
已经被感染的系统，正在运行的进程列表中会存在dejas，locas，salsa这三个进进程。而且蠕虫会通过MAPI把自身发送给MS Outlook地址薄中的所有联系人。

1． 从内存中终止正在运行的蠕虫进程
按CTR+ALT+DEL打开WINDOWS的任务管理器，从进程列表选择dejas，locas，salsa，然后单击[结束进程]。

　　2．
删除注册表中自动运行的入口打开注册表删除HKEY_LOCAL_MACHINE>Software>Microsof
t>Windows>
CurrentVersion>Run和HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>RunServices中的DEJAS，LOCAS，SALSA三项。

　　3． 修改AUTOEXECUTE.BAT文件
打开文件删除带有@echo off ， DEL ，CLS和FORMAT C:的行。

　　4．
删除LISTWIN.TXT和WINLIST.TXT两个文件，这两个文件记录了被蠕虫删除的文件列表，
存放在系统目录里边，如果是WIN9X/ME目录为C:\Windows\System，如果是WIN
NT/2000/XP目录为C:\Windows\System32。

　　5． 运行KV3000杀毒王进行系统扫描，把发现有WORM_HUNCH.A.的文件删。



Remind：此消息由Thermo在04-25　21:14:26做过手脚，呵呵……

安琪.幽灵

蠕虫程序，一般运行时会将系统资源耗尽。

可以清除
备注:可以安全删除
删了很多次，但还是出现！呜~

Thermo

3月8日开始，"口令蠕虫"病毒突然袭击我国互联网，造成个别骨干互联网出现明显拥塞，个别局域网近于瘫痪。该病毒主要攻击NT平台（Win2000/XP也属于NT平台），该蠕虫属于黑客行为的蠕虫病毒，它通过扫描Win2k或者XP的445端口，然后进行共享会话猜测管理员系统口令。如果猜测到口令，则蠕虫建立管理会话，用psexec.exe程序通过共享上传蠕虫文件，在被感染的主机上，在注册表中Software\Microsoft\Windows\CurrentVersion\Run设置启动项，以便病毒能够在系统启动的时候加载运行。蠕虫会在主机上开启VNC后门，该后门开启5800和5900端口，能够进行远程控制。蠕虫开启扫描进程，对随机生成的IP地址进行扫描来传播感染其他主机。

　　病毒名称：Worm.DvLdr

　　病毒类型：PE蠕虫

　　传播方式：探测445端口连接穷举破解密码

　　病毒简介：该病毒体较大，包含数个可执行文件。主体程序为DvLdr32.exe，为VC++6编写，并采用aspack压缩过。病毒自带了两份命令行工具，分别是psexesvc和Remote process launcher，均为sysinternals发布的正常网络工具。并附带有一份安装包，负责在攻击成功之后，在宿主机器上安装VNC远程控制工具。  

??造成的危害：
　　目前国内已经有个别骨干互联网出现明显拥塞，个别局域网近于瘫痪，数以万计的国内服务器被感染并自动与境外服务器进行链接。中国计算机网络应急处理协调中心负责人9日对新华社记者表示，“口令蠕虫”通过一个名为Dvldr32.exe的可执行程序，实施发包进行网络感染操作，主要对象是网络服务器和视窗2000、XP等个人终端用户。

??应对措施：

1. 终端用户可采取如下措施：
（1）为Administrator设置一个强壮的密码。
（2）查看系统进程是否存在Dvldr32.exe，以确认是否被病毒感染，如果您的系统被感染，那么可以结束该进程，并在正确的目录下删除相应的蠕虫文件和注册表键值，然后重新启动系统。
（3） 重新启动机器。
（4） 如无必须，建议关闭5800、5900端口。

  文件名 可能出现的目录 长度   
  dvldr32.exe %windir%/system32(NT/2K)
%windir%/system(9x) 745,98   
  explorer.exe %windir%/fonts 212,992   
  omnithread_rt.dll %windir%/fonts  57,344   
  VNCHooks.dll  %windir%/fonts  32,768   
  rundll32.exe %windir%/fonts 29,336   
  cygwin1.dll  %windir%/system32(NT/2K) %windir%/system(9x) 944,968   
  INST.exe C:\Documents and Settings\All Users\「开始」菜单\程序\启动C:\WINDOWS\「开始」菜单\程序\启动
C:\WINNT\All Users\「开始」菜单\程序\启动 684,562   

其中% windir %是系统的Windows安装目录，SYSTEM是Windows下的系统文件目录。

2.若网络因此蠕虫病毒发生异常，可在防火墙或者路由器上作相应端口的过滤。

access-list 110 deny tcp any any eq 445
access-list 110 deny tcp any any eq 5800
access-list 110 deny tcp any any eq 5900
access-list 110 permit ip any any

Thermo

[I]以下引用安琪.幽灵的内容：
[/I]蠕虫程序，一般运行时会将系统资源耗尽。

可以清除
备注:可以安全删除
删了很多次，但还是出现！呜~

知道是什么蠕虫吗？你是怎么清的？

安琪.幽灵

[I]以下引用Thermo的内容：
[/I]
知道是什么蠕虫吗？你是怎么清的？

用[金山2003]，网上的软件也试过了。
还是不行。
教我，谢谢Thermo

Thermo

先要知道是什么蠕虫。金山有没有指出是什么病毒？

你有没有按照我上面说的步骤去看是不是"巨鹰"的蠕虫病毒？

安琪.幽灵

[I]以下引用Thermo的内容：
[/I]先要知道是什么蠕虫。金山有没有指出是什么病毒？

你有没有按照我上面说的步骤去看是不是"巨鹰"的蠕虫病毒？

查过了
显示“无病毒”
但监控提示有病毒
WHY？

Thermo

http://www.cert.org.cn/cert/index.php

http://www.cert.org.cn/cert/cert/detail_content.php?noticeid=VIRUS187