震蕩波電腦病毒特征及清除方法介紹

　　震蕩式電腦病毒很多，危害也大，電腦中了該怎么辦呢!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的震蕩式電腦病毒特征及清除方法介紹!希望對(duì)你有幫助!

　　震蕩式電腦病毒特征及清除方法介紹：

　　震蕩式電腦病毒特征：

　　1.感染系統(tǒng)為:Windows 2000、Windows Server 2003、Windows XP、Windows 7

　　2.利用微軟的漏洞:MS04-011;

　　3.病毒運(yùn)行后，將自身復(fù)制為%WinDir%\napatch.exe

　　4.在注冊(cè)表啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創(chuàng)系統(tǒng)日志中出現(xiàn)相應(yīng)記錄

　　系統(tǒng)日志中出現(xiàn)相應(yīng)記錄

　　建:"napatch.exe" = %WinDir%\napatch.exe;這樣，病毒在Windows啟動(dòng)時(shí)就得以運(yùn)行。

　　5.在TCP端口5554建立FTP服務(wù)，用以將自身傳播給其他計(jì)算機(jī)。

　　6.隨機(jī)在網(wǎng)絡(luò)上搜索機(jī)器，向遠(yuǎn)程計(jì)算機(jī)的445端口發(fā)送包含后門程序的非法數(shù)據(jù)，遠(yuǎn)程計(jì)算機(jī)如果存在MS04-011漏洞，將會(huì)自動(dòng)運(yùn)行后門程序，打開(kāi)后門端口9996。病毒利用后門端口9996，使得遠(yuǎn)程計(jì)算機(jī)連接病毒打開(kāi)的FTP端口5554，下載病毒體并運(yùn)行，從而遭到感染。

　　7.病毒還會(huì)利用漏洞攻擊LSASS.EXE進(jìn)程，被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會(huì)癱瘓，Windows系統(tǒng)將會(huì)有1分鐘倒計(jì)時(shí)關(guān)閉的提示。

　　8.病毒在C:\win32.log中記錄其感染的計(jì)算機(jī)數(shù)目和IP地址。

　　震蕩式電腦病毒清除方法：

　　1. 病毒運(yùn)行時(shí)會(huì)建立一個(gè)名為:"BILLY"的互斥量，使病毒自身不重復(fù)進(jìn)入內(nèi)存，并且病毒在內(nèi)存中建立一個(gè)名為:"msblast"的進(jìn)程，用戶可以用任務(wù)管理器將該病毒進(jìn)程終止。

　　2. 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為:%systemdir%\msblast.exe,用戶可以手動(dòng)刪除該病毒文件。

　　注意:%Windir%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄，默認(rèn)是:"C:\Windows"或:"c:\Winnt",也可以是用戶在安裝操作系統(tǒng)時(shí)指定的其它目錄。%systemdir%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄，默認(rèn)是:"C:\Windows\system"或:"c:\Winnt\system32"。

　　3. 病毒會(huì)修改注冊(cè)表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)，在其中加入:"windows auto update"="msblast.exe"，進(jìn)行自啟動(dòng)，用戶可以手工清除該鍵值。

　　4. 病毒體內(nèi)隱藏有一段文本信息:

　　I just want to say LOVE YOU SAN!!

　　billy gates why do you make this possible ? Stop making money and fix your software!!

　　5. 當(dāng)病毒攻擊失敗時(shí)，可能會(huì)造成沒(méi)有打補(bǔ)丁的Windows系統(tǒng)RPC服務(wù)崩潰，Windows XP系統(tǒng)可能會(huì)自動(dòng)重啟計(jì)算機(jī)。該蠕蟲(chóng)不能成功攻擊Windows Server2003，但是可以造成Windows Server2003系統(tǒng)的RPC服務(wù)崩潰，默認(rèn)情況下是系統(tǒng)反復(fù)重啟。

　　6. 病毒檢測(cè)到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后，就會(huì)向微軟的更新站點(diǎn)"windowsupdate.com"發(fā)動(dòng)拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新站點(diǎn)無(wú)法為用戶提供服務(wù)。
看了“震蕩式電腦病毒特征及清除方法介紹”文章的還看了：

1.電腦病毒清除方法有什么

2.電腦病毒清除方法

3.電腦病毒大清除介紹

4.電腦病毒震蕩波