6、后门部分:
随机开启一个TCP/IP端口进行监听,这个后门可以被攻击者利用,例如:上传并运行一个可执行文件。
7、删除下列注册表键值,以阻止一部分病毒 防火墙 ,系统程序,和其它病毒(病毒作者的对手)的运行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Explorer
System.
Msgsvr32
Service
DeleteMe
Sentry
Taskmon
Windows Services Host
8、同时删除下列注册表键值:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
9、病毒带有下列字符串:
<*>NetDy: Thanks to the SkyNet alias NetSky crew for the sourcecode.
<*>NetDy: We have rewritten NetSky.
<*>NetDy: Thats a good tactic to detroy the bagle and mydoom worms.
<*>NetDy: Our group will continue the war.
<*>NetDy: Malware writers 'End' comes true.
<*>NetDy: Our Social Engineering is the best *lol* (You have no virus symantec says!).
<*>NetDy: -------------------------------------------------------------------------
<*>NetDy: We are greeting all russia people!
USA SUCKS!!! AFGHAN SUCKS 2!!! BURN, SADDAM! BURN IN HELL! AND YOU, OSAMA BIN LADEN,
BURN IN THE DEVILS FIRE 2!!!
SHAME ON YOU MR. BUSH!!!
YOURS SINCERELY: H.
---> THIS IS A MESSAGE FROM: Skynet.cz-FANATICON
10、同时向chris_sexana@aol.com发送一封邮件,向病毒作者通知被控机器的情况。
解决方案:
·请使用金山毒霸2004年04月22日的病毒库可完全处理该病毒;
·请不要轻易点击陌生人的邮件以及下载和运行所带附件,在运行可疑附件前最好先用毒霸扫描;
·手工解决方案:
首先,若系统为WinXP,则请先关闭系统还原功能;
对于系统是Win9x/WinMe:
步骤一:删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为
C:\windows),分别输入以下命令,以便删除病毒程序:
C:\windows\>del VISUALGUARD.EXE
C:\windows\>delBASE64.TMP
C:\windows\>delZIP1.TMP
C:\windows\>delZIP2.TMP
C:\windows\>delZIP3.TMP
C:\windows\>delZIP4.TMP
C:\windows\>delZIP5.TMP
C:\windows\>delZIP6.TMP
C:\windows\>delZIPPED.TMP
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式;
步骤二:清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边的面板中, 找到并删除如下项目:
"NetDy"="%Windir%\VISUALGUARD.EXE"
关闭注册表编辑器。
对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:
步骤一:使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“VISUALGUARD.exe”,单击“结束进程按钮 ”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二:查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到病毒主程序文件“VISUALGUARD.exe”以及“ BASE64.TMP、ZIP1.TMP、ZIP2.TMP、ZIP3.TMP、ZIP4.TMP、ZIP5.TMP、ZIP6.TMP、ZIPPED.TMP”,将它们删除;
步骤三:清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;在左边的面板中, 双击(按箭头顺序查找,找到后双击):HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右边的面板中, 找到并删除如下项目:"NetDy"="%Windir%\VISUALGUARD.exe",关闭注册表编辑器.(完)
|