僵尸网络病毒之BotNet扫盲、预防及清除

自今年伊始，就看到了有关“僵尸网络”病毒不断泛滥的报道。今天下班回家看中央台新闻频道，发现我们国家感染该病毒的用户就有几百万台（没记得很清楚），再到网络上一查，发现电信、联通，还有很多政府机构和单位都曾经发出过有关“加强防范木马和僵尸网络控制入侵的通知”。看起来最近“僵尸”复活，开始泛滥了，有点网络版“生化危机”的味道。

僵尸网络(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”(如:信用卡,网络银行支付帐号,股票资金帐户.等等)。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽的控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

查阅国家计算机网络应急技术处理协调中心的网站，有基本介绍：计算机“僵尸网络”病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。此病毒有如下特征：

一、连接IRC服务器

1、连接IRC服务器的域名、IP、连接端口情况如下：

0x80.online-software.org   194.109.11.65 TCP/6556， TCP/1023 荷兰
       0x80.martiansong.com        64.202.167.129 TCP/6556，TCP/1023 美国
       0x80.my1x1.com              194.109.11.65 TCP/6556， TCP/1023 荷兰
       0x80.goingformars.com       64.202.167.129 TCP/6556，TCP/1023 美国
       0x80.my-secure.name         194.109.11.65 TCP/6556， TCP/1023 荷兰
       0xff.memzero.info           无法解析                TCP/6556，TCP/1023
     2、连接频道：#26#，密码：g3t0u7；

二、扫描随机产生的IP地址，并试图感染这些主机；

三、运行后将自身复制到System/netddesrv.exe；

四、在系统中添加名为NetDDE Server的服务，并受系统进程services.exe保护。

★★被攻击计算机的基本表现特征

1、进程里有mcxsvcn.exe、mcxsvcm.exe、mcxsvci.exe、mcxsvc2.exe，位置在c:/windows/system32/iexplorer.exe。

2、文件夹选项里“隐藏受保护的系统文件（推荐）”前的钩无法去掉，成功修改注册表的值后，还是无法去掉前面的钩。

3、文件夹选项里“隐藏已知文件类型的扩展名”前的钩无法去掉，成功修改注册表的值后，可以去掉前面的钩，但是还是无法显示文件的扩展名。

4、进程里有多个explorer.exe、smss.exe进程，下挂calc.exe（和计数器的进程名一样）。

5、进程里有多个cmd.exe进程。

6、在目录windows/system32/driversstore、windows/system32/search、windows/system32/tracing下存在1st.exe、2008.exe、beep1.exe、conme.exe、hode.exe、mine.exe、mycc08~1.exe、s1vce2.exe等文件。

★★防范措施和方法

1、建议对照以上特征认真检查网站服务器和计算机终端，发现问题的要及时清除安全隐患。

2、检查有无IRCBOT脚本文件。

3、安装计算机操作系统的相关补丁、安装必要的防病毒、防火墙软件。

注意：该蠕虫在安全模式下也可以正常运行，但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下：

1、断开网络；

2、恢复注册表：打开注册表编辑器，在左边的面板中打开并删除以下键值：

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Minmal/NetDDEsrv

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/SafeBoot/Network/NetDDEsrv

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/NetDDEsrv

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/SafeBoot/Minmal/NetDDEsrv

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/SafeBoot/Network/NetDDEsrv

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/NetDDEsrv

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minmal/NetDDEsrv

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/NetDDEsrv

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetDDEsrv

3、重新启动计算机；

4、删除蠕虫释放的文件：删除在system下的netddesrv. exe文件。（system是系统目录，在win2000下为c: /winnt/system32，在winxp下为c: /windows/system32）

5、运行杀毒软件，对系统进行全面的病毒查杀；

6、安装微软MS04-011、 MS04-012、 MS04-007 漏洞补丁。

★★建议操作前,备份重要文件！

僵尸网络病毒之BotNet扫盲、预防及清除相关推荐

行走的漏洞利用机器人：僵尸网络病毒携71个EXP占领高地
前言僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络. 攻击者通过各种途径传播僵尸程序感染互联 ...
怎么预防和清除计算机病毒,预防和清除计算机病毒的方法
2113计算机病毒的预防和清除方法: 用于系统启动的5261磁盘必须专用,并且必须对4102进行写保护,以防止1653病毒入侵. 除非经过充分检查,否则请不要使用来源不明的软盘或U盘,也不要使用非法复 ...
记一次比尔盖茨僵尸网络病毒处理过程
记一次比尔盖茨僵尸网络病毒(通过rkhunter 扫描发现)处理过程(处理过程中发现有守护进程,所以直接越过重复查找的过程): 1. 发现机器存在大量外联,紧急封堵网络. 2. 查看top 进程,发现 ...
GPU服务器中挖矿病毒-查杀-分析-预防
1. 确认是挖矿病毒使用命令nvidia-smi发现GPU被root用户(也可能是普通用户)大量占用,体现形式为:显存占用率不一定为100%,但GPU使用率为100%. 使用命令 top(htop) ...
一次被僵尸网络病毒攻击的过程
事件背景回想起来应该算是去年的事情了, 时值 2019 年 1 月 24 日早上, 当时我正忙碌于开发手头的一个珠宝分销系统项目, 由于已经进行了多日封闭式开发, 项目初见效果, 准备放到内网服务器 ...
个人计算机预防勒索病毒,Windows10如何开启预防勒索病毒功能|电脑安全开启防御勒索软件的方法...
电脑安装上Windows10系统,内置有"Windows Defender安全中心",可以保护电脑.但是最近一年比特币勒索病毒一直让大家头疼.为此,微软在"Windows ...
每周一喂丨勒索病毒无解？做好预防是关键！
为什么e小安总是有一种错觉时间过得很快一眨眼的功夫就是周四啦又到了每周一喂的时间今天,e小安要和小伙伴们分享的,是勒索病毒的相关内容. 本月3日,苹果和高通芯片代工厂台湾积体电路制造(台积电) ...
关于WannaCry病毒的见解与预防，我有话说！
好久没写博客了,自从定性专做技术扩展服务后,已经有两年半没有正式写过博客,要不是这次WannaCry病毒的厉害程度,我也懒得去写博客,为什么呢?写技术文章吗?两年多没有研究新的技术,没有什么好写的!所 ...
服务器数据中了locked勒索病毒，有关locked勒索病毒的介绍与预防建议
随着网络的普及和科技技术的发展,网络安全问题日益突出.而其中,勒索病毒就是一种常见的网络安全威胁.一旦企业的服务器数据库被勒索病毒攻击,会导致企业内部的重要数据被加密,给工作和生产生活带了极大的困扰. ...

僵尸网络病毒之BotNet扫盲、预防及清除

僵尸网络病毒之BotNet扫盲、预防及清除相关推荐

最新文章

热门文章