关键词:
我的电脑中了这种worm.novarg.b的病毒,现在连网都上不了了,有谁知道这是什么病毒,最重要的是用什么样的方法才能清除它?谢谢了。
病毒名称: Worm.Novarg.b中文名称: 诺维格变种
威胁级别: 3A
病毒别名: SCO炸弹变种 [瑞星]
W32/Mydoom.b@MM [McAfee]
WORM_MYDOOM.B [Trend]
W32.Mydoom.b@mm [Symantec]
受影响系统: Win9x/NT/2K/XP/2003
“诺维格”变种B(又名:SCO炸弹,英文又名:Mydoom.b)使用和原版病毒相同的传播机制,但更恶毒的是该病毒攻击的目标开始转向微软,在向SCO发起DoS(拒绝服务)攻击的同时也向微软的官方网站发起相同的攻击。另外,此次变种还加入了对单机用户的影响,它屏蔽了许多知名反病毒厂商、网络安全厂商的官方网站地址和升级地址,造成一些单机用户的反病毒软件和网络防火墙不能正常升级。
技术特点
A.创建如下文件:
%System%\Ctfmon.dll
%Temp%\Message:这个文件由随机字母通组成。
%System%\Explorer.exe
(注:%system%为系统目录,对于Win9x系统,目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。)
B.添加如下注册表项:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
"Explorer" = "%System%\Explorer.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Explorer" = "%System%\Explorer.exe"
HKEY_CLASSES_ROOT\CLSID\E6FB5E20-DE35-11CF-9C87-00AA005127ED
\InProcServer32
%默认% = "%System%\ctfmon.dll"
以便病毒可随机自启动;
C.%System%\Ctfmon.dll的功能是一个代理服务器,开启后门;
D、病毒在如下后缀的文件中搜索电子邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
E、使用病毒自身的SMTP引擎发送邮件,他优先选择下面的域名服务器发送邮件,如果失败,则使用本地的邮件服务器发送。
gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.
用“系统退信”的方式传播,使人防不胜防;
F、可能的邮件内容如下:
From: 可能是一个欺骗性的地址
主题:
Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
正文:
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
附件可能有双缀,如果有双后缀,则第一个可能的后缀如下:
.htm
.txt
.doc
第二个后缀可能如下:
.pif
.scr
.exe
.cmd
.bat
.zip
如果附件是个exe或scr文件的扩展名,则显示的是一个文本文件的图标
G.复制自身到Kazaa共享目录中,诱使其它KaZaa用户下载病毒。病毒复本的文件名如下:
icq2004-final
Xsharez_scanner
BlackIce_Firewall_Enterpriseactivation_crack
ZapSetup_40_148
MS04-01_hotfix
Winamp5
AttackXP-1.26
NessusScan_pro
扩展名可能如下:
.pif
.scr
.bat
.exe
H.修改系统hosts文件,屏蔽用户对以下网站的访问,造成不能升级反病毒等安全类软件:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
I.从2004年2月1号开始开启多个线程对www.sco.com发动DOS攻击,从2月3日起对www.microsoft.com发起DOS攻击,直到2004年3月1日结束.
解决方案:
1、请升级您的金山毒霸到2004年1月30日的病毒库,并打开病毒防火墙和邮件防火墙来阻止病毒邮件的入侵;
2、如果收到系统退信时,请不要打开退信中的附件;
3、不要打开陌生人邮件;
4、改变文件的查看方式,让文件显示完整的扩展名,使病毒无处藏身。病毒常用后缀为:.bat, .cmd, .exe, .pif, .scr,.zip。
打开显示完整扩展名的方法:
A、打开资源管理器,单击“工具”,再单击“文件夹选项”
B、选择“查看”标签项
C、找到“隐藏已知文件类型的扩展名”,取消前面的“勾”
D、点击“确定”即可。
5、请升级您的金山毒霸到2004年1月27日的病毒库,使全盘完全查杀来清除该病毒;
6、如果您没有金山毒霸,您可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入;
7、所有用户还可以尽快登录到 下载“诺维格”专杀工具,可解除病毒屏蔽的网站。
8、企业用户发现该病毒的形踪,请立即升级病毒库到最新,然后将中毒机器立即隔离出网络来查杀。开启邮件服务器的邮件过滤,将病毒邮件过滤。
9、杀毒完毕后,请下载专杀工具()帮助修复HOSTS文件,解除病毒屏蔽的网站。
专家提醒:
1、请及时升级您的毒霸到最新。因为病毒随时在产生,金山毒霸的病毒库也会随时升级中,请多关注金山毒霸安全咨询网(www.duba.net)上的最新病毒公告,或者订阅金山毒霸的“病毒短信”,为您提供最新最快的病毒信息和毒霸的升级信息;
2、打开网络和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,只要防止住病毒进入的通道,就可彻底免除病毒带来的危害;
3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒制作者会利用人们好奇的心理来骗取自己激活的机会,如前段时间的“911”蠕虫病毒,就是利用人们对“911”事件的关注心态,来骗取用户打开邮件,从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权;
4、掌握一些相关的系统操作知识,这样可以方便、及时的发现新病毒 参考技术A 介绍:任务管理器,它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。
伪装成taskmon.exe进程的诺维格(Worm.Novarg)病毒手工清除方法
1、终止恶意程序:
打开Windows任务管理器.
在Windows95/98/ME系统中, 按CTRL+ALT+DELETE
在Windows NT/2000/XP 系统中,按CTRL+SHIFT+ESC,然后点击进程选项卡。
在运行程序列表中,找到进程: taskmon.exe
选择恶意程序进程,然后点击结束任务或结束进程按钮(取决于Windows的版本)。
为了检查恶意程序是否被终止,关掉任务管理器,然后再打开。
关掉任务管理器。
*注意: 在运行Windows95/98/ME的系统中,任务管理器可能不会显示某一进程。可以使用其他进程查看器来终止恶意程序进程。否则,继续处理下面的步骤,注意附加说明。
2、删除注册表中的自启动项目:
从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
打开注册表编辑器: 点击开始>运行,输入REGEDIT,按Enter
在左边的面板中,双击:
HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,找到并删除如下项目:
TaskMon = %System%\taskmon.exe
* 注意: %System%是Windows的系统文件夹,在Windows 95,98,和ME系统中通常是 C:\Windows\System,在WindowsNT和2000系统中是:WINNT\System32,在Windows XP系统中是C:\Windows\System32。
*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程,请重启系统。
3、删除注册表中的其他恶意项目
如下是删除注册表中其他恶意项目的说明。
仍旧在注册表编辑器中,在菜单条中点击编辑>查找,在文本领域中输入"ComDlg32",点击查找下一个。
当像如下键值出现时,删除键值和数据:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\ComDlg32\Version
关闭注册表编辑器。 参考技术B 这样
下载清理系统临时文件和IE临时文件夹工具,全选所有项目,点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar
然后下载360安全卫士,点清理系统垃圾,然后点windows预读文件,扫描以后清除
同时,用360安全卫士
修复IE,如果还有类似情况,重新装一个浏览器
如果那三个玩意儿还在,用费尔杀掉
官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip
最后建议搞定后开机f8进入安全模式,用杀软来个彻底的扫描 参考技术C SCO炸弹变种B(Worm.Novarg.B)病毒档案
发布时间: 02月02日 16:37
------------------------------------------------------------------------------
病毒名称:SCO炸弹变种B(Worm.Novarg.B)
警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:邮件
依赖系统: WINDOWS 9X/NT/2000/XP
病毒介绍:
1月29日,反病毒监测网率先截获“SCO炸弹”病毒的一个新变种,并命名为“SCO炸弹变种B”(Worm.Novarg.b)病毒。据反病毒工程师介绍,与“SCO炸弹”不同,该病毒已经把攻击的矛头直接指向微软,将对微软网站发动拒绝服务式攻击。技术服务部门27日通过国内病毒监测网监测到1000多封携带该病毒的用户邮件,而1月29日已经上升至4000多封,并有急剧增长的趋势。
据反病毒工程师分析,该病毒变种的技术特性与“SCO炸弹相似”,利用病毒邮件的大量传播感染用户电脑,把感染的电脑当作代理服务器针对特定网址发送拒绝服务式攻击,这种攻击方式目前没有有效的预防措施。和“SCO炸弹”一样,该病毒变种不会感染以EDU结尾的邮件地址,尽管病毒编写者的主要目的是为了攻击微软和SCO公司,但由于带毒邮件的大量传播会消耗网络资源,并对系统设置后门,对普通用户的正常使用造成很大安全风险。
病毒的特性、发现与清除:
1. 该病毒是蠕虫型病毒,采用upx压缩,病毒体大小为29,184字节。
2. 病毒运行时会释放后门程序为:%System%\Ctfmon.dll,该后门程序使用以下TCP端口: 80、 1080、 3128、8080、10080,该后门可以下载或执行任何有害代码。可将该病毒文件直接删除。
注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。
文章出处: 中国电脑教育报 参考技术D 瑞星公司发布的SCO炸弹(Worm.Novarg)病毒专杀工具。1.0版可查杀病毒:Worm.Novarg 针对“SCO炸弹(Worm.Novarg)”病毒的专杀工具。下载工具后直接运行即可。 专杀工具只能查杀独立的文件,不能查杀复合文档中的病毒,比如邮箱或者压缩文件。
海康威视无线摄像头现在延时严重,画面一分钟后才能显示出来,这是啥问题?怎么解决?
我2020/7月买的海康威视DS-IPC-K22H-IW,录像机是DS-1104W,现在延时严重,画面一分钟左右才能显示出来!这问题怎么解决?是什么问题?打电话海康威视客服说来维修要收费,参考技术A这个摄像头你是哪里买的,就是找那里的店家... 查看详情
如何手动清除那些映像劫持技术的病毒
在用电脑的过程中,经常会遇到一些病毒,那么怎么样才能彻底查杀电脑中的木马病毒呢?安全防御教你如何查杀映像劫持技术的病毒。解决步骤分别对将icesword和Sreng主程序改名后运行,此时,那个象记事本的病毒程序已经打... 查看详情
不知道啥时候桌面图标快捷方式的箭头被换成个透明的放大镜图标
...透明的放大镜图标,除了我的电脑和回收站,其他都有。这是怎么回事啊,是中了病毒吗?怎么处理啊?桌面图标异常了你修复一下吧小箭头是快捷方式都会带有的一个特征,如果不喜欢其实是可以取消掉的,在【腾讯电脑管家... 查看详情
烽火网管安装后不能登录,显示“获取静态数据失败”。这是啥原因?
参考技术A和网站的连接出错了吧追问具体是哪个网站呢?都设置对了的啊追答不是你理解的意思,就是说在软件和它对应的网站之间传输的数据出现了错误追问那怎么查询具体是哪里出现错误,怎么改正呢?追答这个没办法改... 查看详情
mysql创建视图时,要加上啥属性才能在创建视图后修改视图里的数据呢?
我创建了一张视图,可以正确的展示数据,就是不能修改。。。谢谢各位大哥啊,呵呵。试了,还是没用。原来在视图中包含分组或聚合的话,就不允许修改,有什么办法可以修改呢?求救呀语法:CREATEVIEW<视图名>[(列名1,... 查看详情
病毒readme这是啥病毒?如何处理?
参考技术A分类:电脑/网络>>反病毒问题描述:用瑞星杀完后,重起机器,这个病毒原来在哪又回哪了。还有下载其它杀毒软件,安装时到了最后一步时文件被损坏,就如法再安装。readme这个东西就像一个信封的样子,怎么也删... 查看详情
打开网站时出现http400错误的请求,这是啥意思,要怎么解决?
用IE浏览器和360浏览器打开网站时,有时会出现HTTP400错误的请求,我应该没有病毒吧,前几天中病毒了,刚刚装的系统,这个是怎么回事,怎么解决?两种可能:1、语义有误,当前请求无法被服务器理解。除非进行修改,否则... 查看详情
navicatformysql,这是啥情况?
参考技术A你连接的是localhost是在你本机,根本不需要开什么防火墙。从报错提示上看,是你的数据库根本还没有运行起来。你看一下进程里有没有mysqld.exe这样的进程 参考技术B没开放3306端口,远程连接权限追问那要怎么设置呢... 查看详情
core-rl-magick-.dll这是一个啥插件?如果丢失改怎么办呢?
它是动态链接库,具体是什么没有办法推测。丢失了网上下载,如果是系统必须的链接库网上都有下载的。(如果网上下载不到),就看看是不是具体哪个软件运行动态库。如果是那就从装软件吧。参考技术A动态链接库 查看详情
如何清除u盘中的ink和autorun.inf病毒
...近有朋友遇上了u盘里的文件夹都变成了lnk类型打不开,这是怎么回事?又该怎么解决呢?“.lnk”是windows系统默认的快捷方式的扩展名,是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件。通常以快捷方式放在桌... 查看详情
mmc.exe是啥进程,这个进程占用cpu比较高应该怎么处理呢,停止的话,会有啥后果?
...序,但是如果终止它,可能会导致不可知的问题。mmc.exe病毒清除 mmc可被感染中毒,中毒表现: 系统总是弹出信息框,提示插入windows安装盘。 清除方法: 1.Ctrl+Alt+Del打开任务管理器 结束应用程序kill 结束进... 查看详情
window2008r2系统怎么清除notepad.exe病毒
...d.exe是Windows自带的记事本程序,而很多黑客会将盗号木马病毒伪装成notepad.exe程序的样子,那怎么进行对notepad.exe病毒专杀呢?下面给大家分享清除notepad.exe病毒方法。 步骤: 1、用安全卫士软件进行对电脑专杀... 查看详情
trojan.clicker.script.js.redirrector.a是啥病毒,怎么杀
这是木马病毒,查杀木马,你可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀这样就查杀的比较彻底了,然后启动360杀毒360安全卫士的木马云查杀功能查杀清除残留就可以... 查看详情
win7中切换用户是啥意思,如果切换了,有啥不同呢?还有,怎样给电脑里某文件加密?就是那种要打开
...个账户才可以切换如果只有自己的一个管理员账户随便你怎么切换都是一样的本回答被提问者采纳 查看详情
电脑出现outofmemory是啥情况?怎么解决?
...点用的内存资源过多也会出现outofmemory问题。 4)电脑病毒感染,如果电脑中毒了,这时大量的内存被病毒点用掉了,这时同样会出现outofmemory提示信息。 5)电脑设置不正确或电脑程序运行配置不正确。 二、出现outofmemor... 查看详情
怎么样才能让word文档里的时间自动更新呢?
...带有时间的标签,每次需要修改时间很麻烦!请教高手,怎么样才能让标签里的时间自动更新呢?拜谢了咯。。插入当前日期和时间单击要插入日期或时间的位置。单击“插入”菜单中的“日期和时间”。如果要对插入的日期或... 查看详情
怎么样的网站设计才能吸引用户呢?
...建站的客户,他们往往在网站建设、页面设计上并不讲求怎么样美观;怎么样符合用户浏览体验;色调怎么样搭配,他们只追求建站的速度要快,往往这样导致了网站上线后,会出现许许多多的问题。今天小编给大家分析下,网... 查看详情
怎么样清除手机上面的涂鸦呢?
参考技术A用美图秀秀软件,可以去除照片涂鸦,恢复原图:1、在手机上安装好美图秀秀并打开它,点击图片美化,选择照片2、然后在屏幕下方找到消除笔并点击它,选择画笔大小3、并在图片上涂抹要去除的部位,即可消除图... 查看详情