木马问题，金山没有明确回附，请高手帮忙！～

Win32/IRCBot.worm.61952.H

系统危险级别: ▲▲▲▲

互联网危险级别： ▲▲▲▲

扩散级别： ▲▲▲▲▲

种类： 蠕虫 发现时间： 2006-03-16 可治疗时间： 2006-03-16

别名：PE_FINALDO.B, Win32.HLLW.MyBot

感染症状及介绍

Win32/IRCBot.worm.61952.H 是 Win32/IRCBot.worm 入场的变种之一. 该蠕虫利用 WINDOWS 漏洞与WINDOWS 帐号密码漏洞传播。运行该蠕虫会在 WINDOWS 文档生成 win32ssr.exe (61,952 bytes)，在WINDOWS 系统文档生成perfont.exe (26,624 bytes), 在LOOT 文档生成 U.exe (26,624 bytes), 在WINDOWS 系统文档\drivers 文件夹生成 netpt.sys (3,712 bytes), WINDOWS 系统文档\wbem 文件夹生成 wmiprvi.dll (13,824 bytes)并登录服务系统，系统开始时自动运行. 试图连接特定IRC服务器. 连接成功后，以管理者(Operator)的身份执行恶意控制.

技术分析

* 传播路径

[运行系统安全漏洞]

该蠕虫利用Win32/IRCBot.worm 变更与Windows漏洞传播.

MS03-039 RPC DCOM2 漏洞

英文 - http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

MS04-011 Microsoft Windows平台安全升级中 LSASS 漏洞

英文 - http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

韩文 - http://www.microsoft.com/korea/technet/security/bulletin/ms04-011.asp

MS05-039 Plug&Play 漏洞引起的远程代码运行及权限上升问题

英文 - http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

韩文 - http://www.microsoft.com/korea/technet/security/bulletin/MS05-039.mspx

[用户帐号密码漏洞]

WINDOWS NT 系列(WINDOWS NT, 2000, XP)共享文档的用户帐号存有密码漏洞时，连接系统后运行该蠕虫. 密码漏洞帐号的清单如下.

admin

server

asdfgh

!@#$%

654321

123456

12345

administrator

* 运行后症状

[生成文件]

在Windows文档生成如下文件。

- win32ssr.exe (61,952 bytes)

在Windows系统文档生成如下文件。

- perfont.exe (26,624 bytes) - V3 诊断为 Dropper/Mutech.26624

在 LOOT 文档生成如下文件。

- U.exe (26,624 bytes) - 是下载的文件，V3 诊断为 Dropper/Mutech.26624

在Windows系统文档\drivers 文档生成如下文件。

- netpt.sys (3,712 bytes) - V3诊断为 Win-Trojan/NtRootKit.3712

在Windows系统文档\wbem 文档生成如下文件。

- wmiprvi.dll (13,824 bytes) - V3诊断为 Win-Trojan/Mutech.13824

注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me/XP是C:\Windows, Windows NT/2000是C:\WinNT\System32。

注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me是C:\Windows\System, Windows NT/2000是C:\WinNT\System32, Windows XP是C:\Windows\System32。

注) LOOT 文档一般是 C:\

[修改注册表]

修改注册表当系统启动时自动运行.

HKEY_LOCAL_MACHINE\

system\

currentcontrolset\

services\

netpt

ImagePath = system32\DRIVERS\netpt.sys

HKEY_LOCAL_MACHINE\

system\

currentcontrolset\

services\

perffont

ImagePath = windows系统文件夹\perfont.exe

HKEY_LOCAL_MACHINE\

system\

currentcontrolset\

services\

win32sr

ImagePath = "windows文件夹\win32ssr.exe"

[文件下载]

在如下网站试图下载恶性文件.

http.down.love.*******.com

注）一些地址由 * 来替代.

[打开端口]

感染的系统会打开如下端口并处于等待状态(LISTENING).

- TCP 80 端口(HTTP: Hypertext Transfer Protocol)

- TCP 任意端口

从外部利用该端口执行远程控制. 带着恶意心理的人连接他人电脑时会执行(运行程序, 删除资料等) 或者发送垃圾邮件或设置广告间谍软件，并且盗取个人信息，各种文件，机密文件.

* 恶性 IRC bot 功能

试图连接特定 IRC(Internet Relay Chat: 利用因特网的一种聊天服务)服务器和聊天室. 连接成功后，以管理者(Operator)的身份执行恶意控制.

一般可运行的恶性功能如下.但IRC 服务器管理者封闭该聊天室时，该恶性功能不会运行.

- 文件运行及删除

- 下载文件及装入

- 泄露系统信息及网络信息

[IRC 服务器]

irc.what*******.com

注) 一些地址由 * 来替代.

解决方案

* 使用V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server的用户

1. 产品运行后， 通过[升级]按钮或升级文件，升级最新引擎及补丁文件.

2. 首先指定要检查的驱动器，然后进行检查.

3. 在进程中诊断为恶性代码时， 选择提示窗口中的‘强制推出后进行治疗’.

恶性代码退出后，会自动进行治疗（删除）.

4. 进程检查和指定的驱动器检查结束后，会d出一个治疗窗口.

在这里点击'治疗所有目录'按钮后，治疗（删除）被诊断的恶性代码.

5. 添加及更改过的注册表值会自动修改.

6. 治疗失败或发生再次感染时，先用安全模式重启再治疗. 连续治疗失败或发生再次感染症状时，咨询客服中心。

* MyV3 用户

1. 连接到MyV3 网站( http://clinic.ahnlab.com/clinic/myv3.html 等)后运行. 如没有安装MyV3活动 X 控制键， 在'安全警告'窗口点击'YES'后安装即可.

2. 把MyV3升级为最新版本.

3. 首先指定要检查的驱动器， 然后点击[开始检查]按钮后开始检查.

4. 在进程中诊断恶性代码时， 选择提示窗口中的'强制结束后治疗'.

从而关闭的恶性代码会自动被治疗（删除）.

5. 进程检查和指定驱动器的检查结束后d出一个治疗窗口.

在这里点击'治疗所有标题'按钮后， 对诊断的恶性代码开始进行治疗(删除).

6. 添加及更改的注册表值会自动修改.

7. 治疗失败或发生再次感染时，先用安全模式重启再治疗. 连续治疗失败或发生再次感染症状时，咨询客服中心。

是病毒

这是一个通过漏洞传播的黑客后门病毒。u.exe通过漏洞MS04-007、MS04-011、MS03-026、MS05-039进行攻击传播。其主要危害是连接IRC聊天服务器，接收黑客指令执行相应 *** 作，使用户被远程控制，沦为“肉鸡”；u.exe还会下载并执行其它病毒。

中了u.exe后在c:下面产生一个名为u.exe的一个程序。进程中多了个 win32ssr.exe的进程。

解决方法：

1，生成文件

%windows%\win32ssr.exe

2，添加注册表启动项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32Sr"ImagePath" = "%windows%\win32ssr.exe"

3，其它

下载病毒%systemRoot%\DOCUME~1\ADMINI~1\LOCALS~1\Temporary Internet Files文件夹下，并拷贝到c:\U.exe并执行。

4，执行c:\U.exe后生成如下病毒文件：

%windows%\system32\drivers\netpt.sys

%windows%\system32\perfont.exe

%windows%\system32\wbem\wmiprvi.dll

添加的注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetPT"ImagePath" = "%system%\drivers\netpt.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PerfFont"ImagePath" = "%system%\perfont.exe"

HKEY_CLASSES_ROOT\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}

将以上文件&键值都删了应该可以解决~

亲，您好。xbox设置好友权限方法如下：

1要启动，双攻的打开你的设置菜单 × 按钮，然后按Y.

发现在菜单底部的齿轮图标，然后按A键继续。 按A再次“所有设置”选项

2

要访问您的隐私设置，选择“Prviacy和网上安全”的选项。

3

如果您之前设置了密钥您的帐户，这是需要你获得访问之前输入保护设置

4

选择一个预置或自定义您的选择

在打开的选项卡隐私和在线安全，您会看到三个默认隐私预设存储在您的Xbox配置文件

5

选择一个选项，以查看其不同设置的概述。 然后，您可以选择“查看详细信息和自定义”一个更完整的列表

6

相反，具有特定的类别和子菜单设置-这些的喜欢的PlayStation 4是否 -Xbox只是勾画出每个设置，一个接一个，在一个很长的横向菜单。 你可以浏览这个菜单简单地与控制器，并根据需要设置各设置。

7

虽然很多的隐私设置，在这里只影响什么信息是您的个人资料公开可见的，并且是相当自我解释，这是值得强调指出，更改配置文件如何处理采购和多人权限的一些功能。

为了防止个人资料从能够花钱买游戏，改变“你可以购买和下载”设置为“仅免费内容”，或者限制通过选择“无”完全采购。

8

要更改情景模式是否被允许连接到Xbox Live的多人游戏，在下面的下拉菜单中更改“允许”设置为“Block”。

9

配置语音数据隐私

---