病毒名稱：掃蕩波

病毒類型：蠕蟲病毒

病毒目的：感染網(wǎng)絡(luò)系統(tǒng)，傳播木馬病毒

病人：系統(tǒng)進(jìn)程提示錯(cuò)誤

我的系統(tǒng)突然提示系統(tǒng)進(jìn)程svchost.Exe出現(xiàn)錯(cuò)誤，于是我馬上重新啟動(dòng)系統(tǒng)。結(jié)果重新啟動(dòng)以后沒有多久，又出現(xiàn)這個(gè)進(jìn)程錯(cuò)誤的提示。仔細(xì)一看提示窗口，居然和以前的沖擊波病毒非常相似，請(qǐng)問這是什么原因造成的啊?

病毒：掃描端口傳播病毒

當(dāng)我成功地在系統(tǒng)運(yùn)行以后就會(huì)釋放，包括aaa.Bat、mrosconfig.Exe、vista.Exe等多個(gè)病毒文件，其中aaa.Bat文件控制整個(gè)病毒的運(yùn)行流程。首先調(diào)用vista.exe對(duì)本網(wǎng)段范圍內(nèi)所有計(jì)算機(jī)系統(tǒng)的445端口進(jìn)行掃描分析，之后將開放445端口的計(jì)算機(jī)保存到一個(gè)列表文件中。接著使用空用戶、空密碼連接上遠(yuǎn)程計(jì)算機(jī)上的IPC$共享。

連接成功以后，就會(huì)調(diào)用mrosconfig.Exe文件，對(duì)列表文件中的計(jì)算機(jī)發(fā)送RPC請(qǐng)求，使遠(yuǎn)程計(jì)算機(jī)中的svchost.Exe進(jìn)程解析RPC路徑時(shí)發(fā)生溢出，然后在遠(yuǎn)程計(jì)算機(jī)中下載病毒木馬并執(zhí)行。下載的文件是一個(gè)木馬下載者，該下載者還會(huì)下載其他的木馬程序，安裝到遠(yuǎn)程計(jì)算機(jī)上。這個(gè)木馬下載者下載的文件包括機(jī)器狗木馬、QQ三國、完美系列網(wǎng)游等游戲盜號(hào)器。

如果我發(fā)現(xiàn)攻擊失敗的話，遠(yuǎn)程計(jì)算機(jī)會(huì)出現(xiàn)svchost.Exe出錯(cuò)的提示，只有這個(gè)現(xiàn)象是用戶可以看見的。所有的操作完成以后，自動(dòng)刪除釋放的所有文件，從而在系統(tǒng)中消失得“無影無蹤”。

醫(yī)生：蠕蟲病毒再次逞威

在我的印象里面，每一個(gè)蠕蟲病毒背后都和一個(gè)系統(tǒng)漏洞有關(guān)，例如沖擊波、震蕩波病毒就是很好的證明。同時(shí)由于蠕蟲病毒的快速傳播和破壞性，也讓普通網(wǎng)民認(rèn)識(shí)到蠕蟲病毒的威力。如果用戶不幸感染了掃蕩波病毒，那么首先運(yùn)行“金山清理專家”，點(diǎn)擊“惡意軟件查殺”按鈕來掃描。掃描完成以后，點(diǎn)擊“清除選定項(xiàng)”按鈕即可。但是這樣只是刪除了掃蕩波病毒，對(duì)于它下載的其它木馬病毒，還需要利用殺毒軟件進(jìn)行查殺。