安全防范之手工刪除假警察的方法

·交換機安全防范技術(上)·安全防范之徹底擊破惡意網頁·Foxmail安全防范之七種武器·QQ密碼安全防范問答·分析緩沖溢出攻擊及安全防范體系·交換機安全防范技術(下)·Apache的安全防范(1)·企業安全防范:綜合網關選購指南·配置路由器成為你安全防范的堡壘·安全防范 給你的移動設備加把鎖

（1） 打開注冊表編輯器,刪除如下鍵值<如果存在的話>：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Sassfix=%SYSTEM%\package.exe

（2） 打開任務管理器查看是否存在進程名為：package.exe（文件為%SYSTEM%\package.exe）終止它

（3） 將%SYSTEM%\system，C:\Documents and Settings\All Users\Main menu\Programs\StartUp目錄及C:\Documents and Settings\All Users\Start Menu\Programs\Starup目錄下的文件：package.exe刪除。

注：%SYSTEM%是Windows系統的核心動態庫所在目錄，在Windows9X/ME下默認為：C:\WINDOWS\SYSTEM，Windows 2000/XP下默認為：C:\WINNT\SYSTEM32。

相關內容：

“假警察”(Worm.Win32.Dabber.a) 利用“震蕩波”的後門及系統MS-4011漏洞進行傳播，會嘗試清除系統裡的“震蕩波”、“惡鷹”、“網絡天空”等多個電腦病毒，可能造成系統異常。占用大量網絡資源，可能會造成企業局域網運行緩慢甚至癱瘓。

Windows 9X（可感染，但無危害）NT/2000/XP（可危害）

1．復制自己到系統目錄並實現自啟動

病毒運行後，將自己復制到%SYSTEM%目錄，，c:\Documents and Settings\All Users\Main menu\Programs\StartUp目錄及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目錄中，文件名為：package.exe。在注冊表HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows\CurrentVersion\Run中加入自己的鍵值：sassfix=%system%\package.exe，病毒使用"sas4dab"為互斥量。

2．試圖清除一些病毒的注冊表鍵值：

嘗試刪除注冊表Run項中的以下鍵值，使之不能正常啟動：

Video Process. TempCom. SkynetRevenge MapiDrv BagleAV System Updater Service soundcontrl WinMsrv32 drvddll.exe navapsrc.exe skynetave.exe Generic Host Service Windows Drive Compatibility windows.Microsoft Update Drvddll.exe Drvddll_exe drvsys drvsys.exe ssgrate ssgrate.exe lsasss lsasss.exe avserve2.exe avvserrve32.avserve

3．建立四個線程實現一些功能。

（1）後門：

病毒監視9898端口，等待客戶端的連接。該後門可以執行一些如：執行文件，從特定網站下載文件等功能。

（2）TFTP服務器：

病毒監聽69端口，實現一個tftp服務器，一旦病毒成功的利用漏洞攻擊一個系統後被攻入的系統將從利用該服務器將病毒復制過去執行。以達到傳播的目的。

（3）一個空線程：

病毒作者並沒有實現任何代碼。（可能下個版本將實現）

（4）利用漏洞進行攻擊

病毒利用本地系統的ip進行計算，找到攻擊目標地址並嘗試對其5554端口（震蕩波的後門）的連接。

A．如果聯接失敗：

病毒將嘗試對其9898端口的連接（用以識別目標系統是否已被病毒感染過），失敗（目標系統沒有被病毒感染）時病毒利用MS04-011漏洞對目標系統進行攻擊，並利用自己的tftp服務器將自己復制過去。

B．聯接成功：

病毒將嘗試對其9898端口的連接（用以識別目標系統是否已被病毒感染過）當失敗（目標系統沒有被病毒感染）時病毒利用震蕩波的後門將自己復制過去。