====================Microsoft Windows 95Microsoft Windows 98Microsoft Windows MEMicrosoft Windows NT 4Microsoft Windows 2000Microsoft Windows XPMicrosoft Windows 2003 綜述:======綠盟科技安全小組監測到互聯網上出現了一個利用MSN Messenger和QQ傳播的蠕蟲,目前在國內的傳播面比較大。由於該蠕蟲修改了重要的注冊表鍵值,不恰當地清除蠕蟲可能導致系統無法登陸。 分析:====== 該蠕蟲在系統上運行後,會進行以下動作: 1、將自身拷貝為:%SystemRoot%\rundll32.exe%SystemRoot%\system32\IEXPLORE.EXE%SystemRoot%\system32\explorer.exe%SystemRoot%\system32\userinit32.exe 2、修改注冊表,將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的“Userinit”修改為指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加運行%SystemRoot%\rundll32.exe的項。 3、修改%system32%\drivers\etc\hosts文件,將大量域名指向222.89.98.219,這樣,用戶訪問這些域名的時候,實際訪問的是222.89.98.219。 4、蠕蟲會同時運行自身的多個拷貝,如果其中一個進程被中止,則其余進程會立即將它再運行。 5、如果系統運行了QQ或者MSN Messenger,蠕蟲會向每一個聯系人發送一條消息,包括一句話和一個指向的鏈接,並試圖將自身以文件“funny.exe”傳輸。 解決方法:========== 預防: 如果您接收到包含的消息,和funny.exe的文件傳輸請求,請拒絕。 檢查是否被感染: 檢查系統中是否存在文件%SystemRoot%\system32\userinit32.exe,,如果存在,則說明可能已經被蠕蟲感染。 清除: 對於Windows 2000/XP,請按照下面步驟進行: 1、在命令提示符中輸入下列命令,將蠕蟲改名: ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir ren %SystemRoot%\system32\explorer.exe explorer.exe.vir ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir ren %SystemRoot%\rundll32.exe rundll32.exe.vir 2、修改注冊表,將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 下的%SystemRoot%\system32\userinit32.exe修改為%SystemRoot%\system32\userinit.exe。 3、重啟系統 4、在命令提示符中輸入下列命令,刪除蠕蟲文件: del %SystemRoot%\system32\IEXPLORE.EXE.vir del %SystemRoot%\system32\explorer.exe.vir del %SystemRoot%\system32\userinit32.exe.vir del %SystemRoot%\system32\bsfirst2.log del %SystemRoot%\rundll32.exe.vir 4、修改注冊表,刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"項。 5、在命令提示符中輸入下列命令,修復hosts文件: type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts del hosts.tmp 如果已經不恰當地刪除了蠕蟲,並導致系統無法正常登陸。請按照如下步驟進行: 1、用Windows 2000(或者Windows XP/2003)安裝光盤引導系統,在“歡迎使用安裝程序”的 界面上按“R”鍵,選擇修復。 2、然後按“C”鍵選擇使用故障恢復控制台。 3、鍵入一個數字,選擇某個Windows 安裝,通常是“1”。然後輸入管理員密碼。 4、進入system32目錄,輸入命令: del userinit32.exe copy userinit.exe userinit32.exe 5、重啟系統,將上面介紹的清除蠕蟲的辦法再進行一遍。