worm.win32.ms08-067
这是一个利用微软漏洞进行传播的蠕虫病毒。它利用微软操作系统的MS08-067漏洞,将自己植入未打补丁的电脑,并以局域网、U盘等多种方式传播。
病毒运行后会进行以下操作:
1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统,如果是病毒才继续执行;
2、给病毒所在进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的;
3、判断是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 进程,将自己代码放到那两个中的一个里面去,然后修改注册表不显示隐藏文件;
4、针对services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"进程进行DNS查询以及TCP传输过程拦截;
5、针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站;
6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动;解决办法
首先断开网络,运行WSYSCHECK工具(没有请自己下载)找到进程svchost进程(病毒进程 红色)右击之,选择结束!在WSYSCHECK中的文件管理器中找到C:WINDOWSsystem32svchost.exe 病毒主文件svchost.exe直接删除!然后在活动文件选项中修复
svchost.exe!最后运行Serng工具修复被病毒损坏的系统(工具自动修复)!然后重新安装杀毒软件,升级到最新病毒库,全面查杀,将病毒残留物清除干净!
如果,以上的操作你不会,可以下载金山清理专家,启动其工具箱——进程管理器,选找出风险进程,找到后结束之,然后在文件管理器中找到C:WINDOWSsystem32svchost.exe 病毒主文件svchost.exe直接删除!并选择修复系统!
7、针对这个病毒现在瑞星杀毒可以直接查杀,你不防先安装瑞星免费版查杀,方便,快捷!