9,513
社区成员
发帖
与我相关
我的任务
分享关于Win32.Xorala病毒的问题~请高手们指教
近日我的机器经常莫名其妙的被占用系统资源(win2000),用任务管理器查看,发现很多cmd.exe和ping.exe在后台运行,我知道我中毒了,但是不知道是何方高人开发的啊,太厉害了,vrv根本查不出来,好不容易用瑞星杀掉了,可是第二天又蹦出来了,杀也杀不完~~~555,而且他以极快的速度感染了我winnt目录下所有的可执行文件,后来我发现有个
psexec可执行文件可能是罪魁祸首,我把他删掉了,结果每次启动机器,都要告诉我,psexec.exe文件不存在,哎呀,我真的是要风掉了,好吧,我再进注册表杀~~~
找到了那个键值。。。结果。。。竟然提示我此键值无法删除~~~
我又一次晕倒,高手们,指教一下吧,
用什么工具能耐完全干掉他???
怎样才能把这个无法删除的键值删除???
谢谢了
psexec可执行文件可能是罪魁祸首,我把他删掉了,结果每次启动机器,都要告诉我,psexec.exe文件不存在,哎呀,我真的是要风掉了,好吧,我再进注册表杀~~~
找到了那个键值。。。结果。。。竟然提示我此键值无法删除~~~
我又一次晕倒,高手们,指教一下吧,
用什么工具能耐完全干掉他???
怎样才能把这个无法删除的键值删除???
谢谢了
...全文
请发表友善的回复…
发表回复
qdfishmen 2003-06-11
- 打赏
- 举报
高手啊,给分!!!
哎,怎么给?
哎,怎么给?
linktofuture 2003-06-11
- 打赏
- 举报
Win32.Xorala病毒分类 脚本病毒 病毒名称 Bat.Worm.Muma.a
别 名 病毒长度
依赖系统 传播途径
行为类型 感 染
一、这是一个由黑客工具和Bat文件组合在一起的攻击Win2000和Windows XP的病毒包。
被感染的机器,默认用户的密码往往是空或过于简单。
二、病毒包主要由下列文件组成:
START.BAT
MUMA.BAT
10.BAT
replace.bat
ipc.bat
hack.bat
RANDOM.BAT
ntservice.bat
SS.BAT
HFind.exe
ntservice.exe
NWIZ_.exe
psexec.exe
PSEXESVC.EXE
rep.EXE
replace.exe
三、传染流程分析
START.BAT首先被执行,设定扫描网段,调用并控制其他文件的运行。
1. 10.BAT 调用HFind.exe扫描指定的网段。
2. hfind.exe是一个IPC扫描工具,将默认用户登陆密码设置为空的机器的IP地址记录下来,保存到IPCFind.txt,默认端口是139。
3. replace.bat 调用rep.EXE把IPCFind.txt的文本信息转换为病毒可以使用的格式。
4. ipc.bat读取IPCFind.txt中的每一条IP和帐号信息,调用hack.bat进行攻击。
5. hack.bat是入侵模块。它使用net use指令,以取得的默认帐号对指定ip进行ipc连接,然后拷贝当前目录下的21个病毒文件到对方机器的
系统目录(\admin$\system32)下面。最后远程启动ntservice.bat。
6.ntservice.bat的任务是调用ntservice.exe,在系统中启动名称为“ Application”的服务。该服务运行的结果是调用ss.bat。
7.ss.bat使用net user命令在系统增加一个帐号admin,密码为KKKKKKK,并添加到管理员组。最后以此帐号和密码登陆127.0.0.1(就是被感染
机器),以管理员的身份调用START.BAT。这样,新一轮的攻击又开始了。
四、由于该病毒包频繁的扫描网络,向网络发送大量的测试数据包,大大降低网络速度。
五、该病毒包本来不破坏系统其他文件,但是在传播过程中,其中的HFind.exe等exe文件感染病毒Win32.Xorala,结果用户的机器被入侵后
系统中的大量exe文件会被Win32.Xorala感染。
专杀工具下载:
http://www.vrv.com.cn/tools/killxorala.com
别 名 病毒长度
依赖系统 传播途径
行为类型 感 染
一、这是一个由黑客工具和Bat文件组合在一起的攻击Win2000和Windows XP的病毒包。
被感染的机器,默认用户的密码往往是空或过于简单。
二、病毒包主要由下列文件组成:
START.BAT
MUMA.BAT
10.BAT
replace.bat
ipc.bat
hack.bat
RANDOM.BAT
ntservice.bat
SS.BAT
HFind.exe
ntservice.exe
NWIZ_.exe
psexec.exe
PSEXESVC.EXE
rep.EXE
replace.exe
三、传染流程分析
START.BAT首先被执行,设定扫描网段,调用并控制其他文件的运行。
1. 10.BAT 调用HFind.exe扫描指定的网段。
2. hfind.exe是一个IPC扫描工具,将默认用户登陆密码设置为空的机器的IP地址记录下来,保存到IPCFind.txt,默认端口是139。
3. replace.bat 调用rep.EXE把IPCFind.txt的文本信息转换为病毒可以使用的格式。
4. ipc.bat读取IPCFind.txt中的每一条IP和帐号信息,调用hack.bat进行攻击。
5. hack.bat是入侵模块。它使用net use指令,以取得的默认帐号对指定ip进行ipc连接,然后拷贝当前目录下的21个病毒文件到对方机器的
系统目录(\admin$\system32)下面。最后远程启动ntservice.bat。
6.ntservice.bat的任务是调用ntservice.exe,在系统中启动名称为“ Application”的服务。该服务运行的结果是调用ss.bat。
7.ss.bat使用net user命令在系统增加一个帐号admin,密码为KKKKKKK,并添加到管理员组。最后以此帐号和密码登陆127.0.0.1(就是被感染
机器),以管理员的身份调用START.BAT。这样,新一轮的攻击又开始了。
四、由于该病毒包频繁的扫描网络,向网络发送大量的测试数据包,大大降低网络速度。
五、该病毒包本来不破坏系统其他文件,但是在传播过程中,其中的HFind.exe等exe文件感染病毒Win32.Xorala,结果用户的机器被入侵后
系统中的大量exe文件会被Win32.Xorala感染。
专杀工具下载:
http://www.vrv.com.cn/tools/killxorala.com
qdfishmen 2003-06-11
- 打赏
- 举报
谢谢,vrv的杀毒工具不好用~还有谁有高招啊
