荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: yoho (小子), 信区: Virus
标  题: Re: 勞拉病毒的困惑
发信站: 荔园晨风BBS站 (Wed Sep  3 21:23:30 2003), 站内信件

参看http://www.05110.com/show.asp?id=2578


Win32.xorala.2048病毒说明及解决方法


Win32.valla.2048也叫win32.xorala.2048, 它是win32病毒,感染Windows目录及系统目录
下的可执行文件。运行时,病毒会在本地驱动器中查找PE形式的Windows可执行文件(即*.
EXE),并感染。感染的文件生成名为“XOR”的节表(Section table),文件大小增加2,
048字节。

现象:运行时,弹出一个WINDOWS文件保护的框,内容大概是,有文件已被改变,需要放入
WINDOWS2000的安装盘,进行恢复。 进程里多了几十个CMD.EXE. 机器速度很慢。 还有
PING.EXE FHIDE.EXE


传染分析:这个病毒通常伴随着另一个病毒bat.mumu而传染的。蠕虫Mumu是一种批处理脚本
文件,也是可执行的配置文件以及初始化文件。蠕虫的文件包括恶意代码程序、黑客工具以
及正常的卸载工具。蠕虫通过局域网传播,并试图破解远端电脑超级用户的口令从而获得权
限。蠕虫会使用其自带的字典进行破解,如果成功,蠕虫会将自己的所有文件都拷贝到远端
电脑的系统目录下,并运行启始脚本。

由于该病毒频繁扫描网络,会向网络发大量数据包,所以大大降低了网络速度。另外,该病
毒本身不会破坏系统文件,但是在传播过程中,其中的HFind.exe等exe文件感染病毒
Win32.Valla,结果用户的机器被入侵后,系统中大量的.exe文件会被破坏。

具体解决方法:

l 最好关掉WIN2000下的共享,查杀的时候最好从网络上断开

l 在系统的“用户和组”的选项内,将ADMIN这个增加的用户删掉。

l 已安装KILL6的用户,在升级到最新的特征码后是可以防住这两个病毒的,如果一旦被感
染,可以将系统启动到安全模式下做扫描。

l 如果有文件清除不干净,主要的文件是EXPLORER.EXE和RUNDLL32.EXE,可能是改名,你可
以用软盘从干净的WIN2K系统拷贝或者直接从WIN2K安装盘解出这两个文件(假定光盘在G:
,具体操作是:expand G:I386explorer.ex_ c:explorer.exe),然后将该文件拷贝到相应
的目录。

注意:WIN2K的PRO和SERVER版本的文件是不一样的。

最后,重新启动机器,在正常启动的系统中再进行查杀。




【 在 kkenson (sandy) 的大作中提到: 】
: 爲什麽 我用專殺殺完後又殺,結果剛才殺掉的病毒 又出來了!
: 而且,文件保護的窗口還是有彈出來
: 順便說說,我前幾天裝的xp今晚又由於該病毒而導致系統無法進入
: !好可怕的病毒啊!誰救救我 ?
: 奇怪的 是青松還有很多人彈出文件保護的窗口,可是他們什麽也不理會
: 照樣安裝顯卡驅動之類的,爲什麽他們就不會進步去我windows呢?
: 我 殺完還有那怎麼辦呢??/
: 謝謝


--
╭∩╮(︶︿︶)╭∩╮


大师并不是没有缺点的,
大师也不是因为克服了缺点才成为大师的。
大师之所以成为大师,

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.39.73]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店