asn2.exe

病毒類型:Worm

影響系統:設有弱口令的網路共享且有RPC/DCOM (MS04-012), LSASS (MS04-011)、IIS5SSL (MS04-011) 漏洞的Windows系統;Unix、NetWare、DOS、OS/2、Macintosh Computers、OpenVMS。

危險等級:偏高

基本介紹

  • 中文名:asn2.exe
  • 危險等級:偏高
  • 病毒類型:蠕蟲病毒
  • 感染症狀:網路阻塞、電腦卡機
  • 危害:遠程控制
  • 影響系統:Windows、Unix、NetWare等
基本信息,發作原理,故障排除,常見故障,清除方法,

基本信息

【特點概述】
(1) 掃描網內其它有此漏洞的電腦。
(2) 開啟本地FTP或WEB服務,以便為自己提供網路連線。
(3) 通過DCC或HTTP傳播病毒體。
(4) 掃描本地磁碟
(5) 列出或終止當前系統服務,進程或執行緒。
(6) 發起SYN,PING、UDP、TCP或ICMP洪水攻擊
(7) 將已感染的電腦作為“肉雞”。
(8) 開啟SOCKS4代理服務
(9) 重定向TCP連線。
(10) 運行identd服務。
(11) 連線其它IRC伺服器或連線埠。
(12) 執行任意命令。
(13) 開啟command-shell 服務。
(14) 偽造寄件人的E-mail地址,傳送大量E-mail,阻塞網路。
(15) 遠程攻擊者可通過IRC信道控制感染系統。
(16) 監控螢幕動作。
(17) 自動連線事先設定好的IRC伺服器,等待伺服器傳送控制指令。

發作原理

W32/Rbot-QI是一個具有後門功能的IRC網路蠕蟲病毒。感染設有弱口令的網路共享且有RPC/DCOM (MS04-012), LSASS (MS04-011)、IIS5SSL (MS04-011) 漏洞的Windows系統。W32/Rbot-QI一進入系統時,就會掃描硬碟,判斷當前系統是否已感染。若有,則取消感染,否則,將“wuacrlt.exe”複製至系統目錄中,並修改下列註冊表項,以在系統啟動時獲得運行的機會。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
*windows update = "wuacrlt.exe"
(注意:病毒進程“wuacrlt.exe”與Windows 自動更新應用程式“wuauclt.exe”很相似,要細心區分啊!!!)

故障排除

常見故障

W32/Rbot-QI發作時,系統就會呈現出病毒特點現象。常見現象有:
(A)造成網路阻塞,無法上網及訪問LAN內共享資源。
(B)電腦一接入網路就當機,斷開又恢復正常,通過“任務管理”查看到“wuacrlt.exe”占用大量記憶體,CPU使用率居高不下。

清除方法

當系統有上述故障時,很有可能是已中毒。目前,國內部分防毒軟體並不能查殺,用戶可以通過手工刪除方法清除病毒,詳細方法如下:
<1> 請打上RPC/DCOM (MS04-012), LSASS (MS04-011)和IIS5SSL (MS04-011)補丁。
<2> 然後請進入安全模式,查看任務管理中進程“wuacrlt.exe”有無運行,若有則終止,隨後再刪除下列註冊表項中的相關值。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
*windows update = "wuacrlt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
*windows update = "wuacrlt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
*windows update = "wuacrlt.exe"
<3> 刪除系統目錄下的“wuacrlt.exe”。
<4> 搜尋其它盤中是否還有“wuacrlt.exe”,有則刪。
<5> 重啟系統至正常啟動模式,即可。

熱門詞條

聯絡我們