病毒名稱：掃蕩波

病毒類型：蠕蟲病毒

病毒目的：感染網(wǎng)絡(luò)系統(tǒng)，傳播木馬病毒

病人：系統(tǒng)進(jìn)程提示錯誤

我的系統(tǒng)突然提示系統(tǒng)進(jìn)程svchost.Exe出現(xiàn)錯誤，于是我馬上重新啟動系統(tǒng)。結(jié)果重新啟動以后沒有多久，又出現(xiàn)這個進(jìn)程錯誤的提示。仔細(xì)一看提示窗口，居然和以前的沖擊波病毒非常相似，請問這是什么原因造成的啊?

病毒：掃描端口傳播病毒

當(dāng)我成功地在系統(tǒng)運(yùn)行以后就會釋放，包括aaa.Bat、mrosconfig.Exe、vista.Exe等多個病毒文件，其中aaa.Bat文件控制整個病毒的運(yùn)行流程。首先調(diào)用vista.exe對本網(wǎng)段范圍內(nèi)所有計算機(jī)系統(tǒng)的445端口進(jìn)行掃描分析，之后將開放445端口的計算機(jī)保存到一個列表文件中。接著使用空用戶、空密碼連接上遠(yuǎn)程計算機(jī)上的IPC$共享。

連接成功以后，就會調(diào)用mrosconfig.Exe文件，對列表文件中的計算機(jī)發(fā)送RPC請求，使遠(yuǎn)程計算機(jī)中的svchost.Exe進(jìn)程解析RPC路徑時發(fā)生溢出，然后在遠(yuǎn)程計算機(jī)中下載病毒木馬并執(zhí)行。下載的文件是一個木馬下載者，該下載者還會下載其他的木馬程序，安裝到遠(yuǎn)程計算機(jī)上。這個木馬下載者下載的文件包括機(jī)器狗木馬、QQ三國、完美系列網(wǎng)游等游戲盜號器。

如果我發(fā)現(xiàn)攻擊失敗的話，遠(yuǎn)程計算機(jī)會出現(xiàn)svchost.Exe出錯的提示，只有這個現(xiàn)象是用戶可以看見的。所有的操作完成以后，自動刪除釋放的所有文件，從而在系統(tǒng)中消失得“無影無蹤”。

醫(yī)生：蠕蟲病毒再次逞威

在我的印象里面，每一個蠕蟲病毒背后都和一個系統(tǒng)漏洞有關(guān)，例如沖擊波、震蕩波病毒就是很好的證明。同時由于蠕蟲病毒的快速傳播和破壞性，也讓普通網(wǎng)民認(rèn)識到蠕蟲病毒的威力。如果用戶不幸感染了掃蕩波病毒，那么首先運(yùn)行“金山清理專家”，點(diǎn)擊“惡意軟件查殺”按鈕來掃描。掃描完成以后，點(diǎn)擊“清除選定項”按鈕即可。但是這樣只是刪除了掃蕩波病毒，對于它下載的其它木馬病毒，還需要利用殺毒軟件進(jìn)行查殺。