南京警方发布安全提示：蠕虫"阻击波"开始传播

　　【龙虎网讯】近日，一个利用微软最新漏洞（MS05-039）传播的蠕虫病毒（阻击波）开始在网上传播，给网络带来较大威胁。南京警方昨天发出安全提示，请本网向全市网络用户告知，需提防此病毒侵袭。

　　据悉，用户电脑感染了该病毒之后，会出现系统频繁重启的现象。同时，该病毒会在用户电脑上开设后门，方便黑客对其进行远程控制。截止到目前，该蠕虫已先后出现了B、C

　　蠕虫详细资料如下：

　　病毒名称：“狙击波”（Worm_Zotob.A）

　　病毒类型：蠕虫

　　病毒级别：三级

　　感染系统：Windows 2000, Windows NT, Windows XP（未安装SP2）

　　病毒长度：22,528字节

　　其它命名：Worm.Zotob.a（金山）

　　I-Worm.Zobot

　　W32.Zotob.A（Symantec）

　　Zotob.A（F-Secure）

　　W32/Zotob.worm（McAfee）

　　W32/Zotob-A（Sophos）

　　WORM_ZOTOB.A（Trend）

　　病毒特征：

　　“狙击波”(Worm_Zotob.A)及其变种是利用几天前微软刚刚公布的系统严重漏洞（Windows PlugandPlay服务漏洞）攻击TCP端口445，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。另外与震荡波、冲击波发作时的现象类似，系统受到攻击后，会不断重启。

　　1、生成病毒文件

　　在%System%目录下生成botzor.exe。（其中，%System%是Windows的系统文件夹，通常是C:\Windows\System、C:\WINNT\System32或C:\Windows\System32）

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建注册项WINDOWSSYSTEM= botzor.exe

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService下创建注册项WINDOWSSYSTEM= botzor.exe

　　病毒还会将注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

　　SharedAccess中的键值Start的值改为0x00000004以便阻止WinXP自带的防火墙运行

　　3、蠕虫的传播

　　蠕虫通过微软的即插即用漏洞（MS05-039）进行传播。通过对网络中445端口的扫描，一旦发现有机器没有安装安全漏洞补丁，蠕虫就会通过445端口进行传播。

　　4、其它

　　病毒被激活后，会连接到服务器diabl0.turkcoders.net，黑客能够通过服务器向被感染的机器发送命令。

　　同时，病毒还会修改HOST文件，以便阻止被感染的用户访问防病毒软件厂商的主页。

　　手工清除该病毒的相关操作：

　　（一）注册表的恢复

　　1、打开注册表编辑器

　　2、在左边的面板中打开

　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，在右边的面板中删除病毒文件的键值

　　3、在左边的面板中打开

　　HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunService，在右边的面板中删除病毒文件的键值

　　（二）删除病毒释放的文件

　　点击“开始——〉查找——〉文件和文件夹”，查找文件“botzor.exe”，并将找到的文件删除。

　　（三）恢复微软自带防火墙的运行

　　在左边的面板中打开

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

　　在右边的面板中找到Start并且将其键值改为0x00000003

　　（四）运行杀毒软件，对系统进行全面的病毒查杀

　　专家建议：

　　1、建议用户立即修补漏洞，链接如下

　　2、加强管理，专网应与外网严格隔离，防止不必要的感染

　　3、遭受感染后，应先断开网络，再进行蠕虫的清除

　　4、关注蠕虫出现的变种，及时升级杀毒软件，启动实时监控（来源：龙虎网）