C:/WINDOWS/system32/x 病毒分析和解决建议

系统出现问题,症状有:
偶尔很卡,CPU并没有很高的进程;
死机,屏幕锁定,键盘失灵,仅鼠标能移动,但是不能任何操作;
只能强行重新启动;
NOD32会报以下病毒警告:

C:/WINDOWS/system32/x

C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/CPZ6J20Y/xxxxxx[1].jpg
 xxxxx 代表文件名
蠕虫病毒

分析:

选择清除后,下次又会再来。
GHOST恢复系统后,还会出现。

网上发现很多这样的情况,但是都没有具体的办法。

清理C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/ 文件时发现index.dat 文件不能删除,这是个索引文件。

 

有记录证明在下载内网的一个疑似图片的文件。

PING这个机器


说明这个机器存在,也测试了http://192.168.0.179:2932/pfrv 的确能下载,且下载后NOD32报读,那么到这基本可以确定就是因为去下载了这个文件,所以NOD32才警告。

但是我并没有去下载这个机器的文件。2个可能

1.我的机器有什么软件激活了这个过程,让它去取内网的病毒;但是她如何知道这个机器的IP和端口的呢?

2.内网机器能够远程执行我机器上的命令,想到这里,我们就想到了conficker

conficker介绍:
Conficker,也被称作Downup,Downadup或Kido,他是一个2008年10月发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。这个蠕虫利用的是一个已知的被用于windows2000,windowsxp,windowsvista,windowsserver2003和windowsserver 2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。“conficker”这个名字是一个德语的双关语,意思是“操作计算机设置的程序”发音就像是英语中“configure”。“configuration”通常被简称为“config”。conficker的命名来源于configuration的前五个字母,同时添加了以ficker为结尾,ficker是一个粗俗的词,是德语fichen的名词形式,在德语中的意思就是英语中的“fuck”。

conficker原理:
conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。

当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。

防范和解决建议:

在两千零八年十月十五日微软释放了一个补丁(MS08-067)用于修复这个漏洞。清除工具可以从微软,赛门铁克,卡巴斯基获得,同时麦咖啡可以清楚他通过特殊扫描。病毒可以通过USB自动播放传播,通过注册表关闭USB的自动播放功能是推荐的选择。微软释放了windowsXPsp2和sp3、windows2000sp4、vista的补丁,没有释放windowsXPsp1和更早版本系统的补丁,这些系统的服务包支持已经过期。

详细介绍:http://www.hudong.com/wiki/conficker

那么这个问题很可能是这样:
内网机器中了病毒,并扫描任意机器,寻找漏洞机器;寻找到后执行下载病毒代码;
如果你的机器补丁没有打、防火墙没有做好屏蔽策略,就极可能被感染。

所以,需要马上更新最新补丁,开启防火墙。

 

posted @ 2010-08-10 20:05  cm186man  阅读(1493)  评论(0编辑  收藏  举报