转发浦东新区对于有关清除网络病毒的通知_学校新闻

转发浦东新区对于有关清除网络病毒的通知

日期：2005-11-08 13:26:00 作者：张臻栋来源：暂无浏览量：0

文件名称：netddesrv.exe

文件长度：23,040字节

类型：蠕虫

名称：

W32.Toxbot (Symantec);Backdoor.Win32.Codbot.at (Kaspersky Lab);W32/Sdbot.worm.gen (McAfee);Win32.Detox.based (Doctor Web);W32/Codbot-Z (Sophos);Worm/CodBot.19792 (H+BEDV);Dropped:Trojan.Deletme.A (SOFTWIN);W32/Sdbot.EZD.worm (Panda);Win32/Codbot (Eset)

受影响系统：

Windows 95;Windows 98;Windows 2000;Windows NT; Windows Me;Windows XP

蠕虫特征

蠕虫运行后会产生如下特征：

1．连接IRC服务器；

1）连接IRC服务器的域名、IP、连接端口情况如下：

2）连接频道：#26# ；密码：g3t0u7

2．扫描随机产生的IP地址，并试图感染这些主机；

3．运行后将自身复制到%System%\netddesrv.exe；

4．在系统中添加名为NetDDE Server的服务，并受系统进程services.exe保护。

手工清除方法

该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下：

1．断开网络；

2．恢复注册表；

打开注册表编辑器，在左边的面板中打开并删除以下键值：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet \Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\NetDDEsrv

3．重新启动计算机；

4．删除蠕虫释放的文件；

删除在%system%下的netddesrv.exe文件。（%system%是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32）

5．运行杀毒软件，对系统进行全面的病毒查杀；

6．安装微软MS04-011、MS04-012、 MS04-007漏洞补丁。

核发：管理员点击数：0 【收藏本页】

分享到