僵尸病毒

僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。僵尸网络(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

此病毒有如下特征：

1、连接IRC服务器；

1）连接IRC服务器的域名、IP、连接端口情况如下：

域名 IP 端口 所在国家

0x80.online-software.org 194.109.11.65 TCP/6556，TCP/1023 荷兰

0x80.martiansong.com 64.202.167.129 TCP/6556，TCP/1023 美国

0x80.my1x1.com 194.109.11.65 TCP/6556，TCP/1023 荷兰

0x80.goingformars.com 64.202.167.129 TCP/6556，TCP/1023 美国

0x80.my-secure.name 194.109.11.65 TCP/6556，TCP/1023 荷兰

0xff.memzero.info 无法解析 TCP/6556，TCP/1023

2）连接频道：#26#，密码：g3t0u7。

2、扫描随机产生的IP地址，并试图感染这些主机；

3、运行后将自身复制到System

etddesrv.exe；

4、在系统中添加名为NetDDE Server的服务，并受系统进程services.exe保护。

按照以下方法进行清除：

该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下：

1、断开网络；

2、恢复注册表；

打开注册表编辑器，在左边的面板中打开并删除以下键值：

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinmalNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetworkNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBootMinmalNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBootNetworkNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinmalNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetDDEsrv

3、需要重新启动计算机；

4、必须删除蠕虫释放的文件；

删除在system下的netddesrv.exe文件。（system是系统目录,在win2000下为c:winntsystem32，在winxp下为

c:windowssystem32）

5、运行杀毒软件，对电脑系统进行全面的病毒查杀；

6、安装微软MS04-011、MS04-012、MS04-007漏洞补丁。