首页 >> 攻击入侵解答
僵尸主机
发布时间:2011-8-31 13:13:00 被阅览数:24741次 来源:厦门凌众科技有限公司
"僵尸主机"是一种经过加壳技术处理的木马程序,在运行时可以将病毒文件复制到系统文件夹中,将自身属性更改并注入恶意代码,运行后可执行恶意攻击者的指令,对指定的IP地址或者端口连续不断地发送连接请求,实施DDos攻击,使受感染的主机将大量消耗网络带宽和系统资源。
"僵尸主机"和"僵尸网络"是互联网上受到黑客集中控制的一群计算机,它们往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意"取用".
因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络和僵尸主机都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个"僵尸"是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的"僵尸主机",这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
因此,安全专家建议广大网络用户,除了规范上网行为、及时更新系统补丁外,还要使用专业安全工具提供网页监控及系统查杀。
病毒运行方式 此病毒有如下特征:
僵尸网络病毒
1、连接IRC服务器;连接IRC服务器的域名、IP、连接端口;
2、扫描随机产生的IP地址,并试图感染这些主机;
3、运行后将自身复制到System\netddesrv.exe;
4、在系统中添加名为NetDDE Server的服务,并受系统进程services.exe保护。
如何清除病毒
该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下:
1、断开网络;
2、恢复注册表; 打开注册表编辑器,在左边的面板中打开并删除以下键值: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv
3、需要重新启动计算机;
4、必须删除蠕虫释放的文件;删除在system下的netddesrv.exe文件。(system是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32)
5、运行杀毒软件,对电脑系统进行全面的病毒查杀;
6、安装微软MS04-011、MS04-012、MS04-007漏洞补丁。
业务联系QQ:173723134