瑞星卡卡安全论坛

至今为止，Zotob已经有五个变种了。细细观察这些变种的异同，的确让人有一丝丝的感悟


1 病毒利用漏洞：Microsoft Security Bulletin MS05-039http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx


2 病毒文件：
W32.Zotob.A：botzor.exe（位于%System%）
W32.Zotob.B：csm.exe（位于%System%）
W32.Zotob.C：per.exe（位于%System%\）
W32.Zotob.D：windrg32.exe（位于%System%\wbev\）
W32.Zotob.E：wintbp.exe（位于%System%\）


3 对注册表修改
把"WINDOWS SYSTEM" = "*.exe（病毒文件）"写入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

另外，W32.Zotob.A、W32.Zotob.B、W32.Zotob.C还进行一下操作
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess，"Start" = "4"


4 创建连接、本地后门


5 其他
W32.Zotob.A、W32.Zotob.B、W32.Zotob.C修改HOST，屏蔽反病毒网站。

W32.Zotob.D关闭以下进程：pnpsrv.exe，winpnp.exe，csm.exe，botzor.exe，CxtPls.exe，NHUpdater.exe,ViewMgr.exe，realsched.exe，qttask.exe，CMESys.exe，EbatesMoeMoneyMaker*.exe
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\RunOnce中，删除的一下键值："Windows PNP Server""Windows PNP""csm Win Updates""MyWebSearch""WINDOWS SYSTEM""Zotob""MyWay""WeatherOnTray""Apropos""IBIS TB""TBPS""Toolbar""Hotbar""CMESys""NavExcel""ViewMgr""eZula""EbatesMoeMoneyMaker""Ebates""AutoUpdater""Gator""Trickler""QuickTime""GatorDownloader""eZmmod""Viewpoint""TkBellExe""180""WinTools""Real""QuickTime Task""sais""msbb"saie""180ax""lgbibsn""tov"
删除以下文件：%SYSTEM%\pnpsrv.exe %SYSTEM%\winpnp.exe %SYSTEM%\csm.exe %SYSTEM%\botzor.exe %PROGRAMFILES%\MyWebSearch %PROGRAMFILES%\MyWebSearch\*.exe %PROGRAMFILES%\Hotbar %PROGRAMFILES%\Hotbar\*.exe %PROGRAMFILES%\MyWay %PROGRAMFILES%\MyWay\*.exe %PROGRAMFILES%\180Solutions %PROGRAMFILES%\180Solutions\*.exe %PROGRAMFILES%\Common Files\WinTools %PROGRAMFILES%\Common Files\WinTools\*.exe %PROGRAMFILES%\Toolbar %PROGRAMFILES%\Toolbar\*.exe %PROGRAMFILES%\CxtPls %PROGRAMFILES%\NavExcel %PROGRAMFILES%\AutoUpdate %PROGRAMFILES%\AutoUpdate\AutoUpdate.exe %PROGRAMFILES%\EbatesMoeMoneyMaker %PROGRAMFILES%\eZula %PROGRAMFILES%\eZula\mmod.exe %PROGRAMFILES%\Common Files\GMT %PROGRAMFILES%\Common Files\GMT\GMT.exe %PROGRAMFILES%\Common Files\CMEII

W32.Zotob.E在对象机子的临时文件夹中创建[NUMBER].bat文件，用于传播蠕虫。如果传播成功，将会创建%Windir%\a[NUMBER].exe






以上就是这病毒的简要比较。
从隐蔽性和传播性上，变种都在原有基础上进行了改装。从目的上，病毒由起初的挑战反病毒软件，演变成了后面的恶作剧性的删除用户软件，试图阻碍用户正常操作系统。在犯罪心理学的角度，如果这个病毒的所有变种都是出于同一个或者同一群作者，他们心里已经产生了对犯罪的快感，从目标的变化可以预测出，后续的变种必将在原有的基础上，加强对软件和系统的破坏；相反的，如果病毒不是出于同一个或者同一群作者，以后的衍变可能更加惨烈……


防御策略：
1 时常关注Windows Updata相关信息，并且及时为系统打补丁
2 及时升级反病毒软件
3 学会关注系统出现的一些问题，及早发现问题，及早处理

觉得还好.

前景不容乐观啊

顶````

引用:

【天天泡泡的贴子】前景不容乐观啊 ...........................

变种会继续出来的，3天了，就已经……而且越来越狠毒可以说是缺德

我也顶一下，不过楼主那么多文件名，可以隔开点的，这么多挤在一起，看的都有点晕啊

【回复“天下奇才”的帖子】
像恶鹰或者网络天空那样，N个变种啊

【回复“再也不喝了”的帖子】
看著病毒文件名就可以了，那个一大堆并不是关心的重点

根据微软和瑞星安全专家的建议还应该在个人防火墙上添加新规则，阻止TCP 端口 139 和 445。

我添加后报警不断，看来中此毒的用户不少，传播很快！

引用:

【心如大海的贴子】根据微软和瑞星安全专家的建议还应该在个人防火墙上添加新规则，阻止TCP 端口 139 和 445。 我添加后报警不断，看来中此毒的用户不少，传播很快！ ...........................

不是这样的，你堵上了端口，但是正常的系统服务还要进行，所以拦截特多。你需要关闭NetBIOS等服务。

1 打开“控制面板”，进入“管理工具”，选择“服务”。找到“TCP/IP NetBIOS Helper”这一服务，选择“禁止”即可。
2 网络连接的属性，找到“Internet协议”，点击高级。找到“WINS”，选择“禁用TCP/IP上的NetBIOS”。

【回复“天下奇才”的帖子】
楼上所说的两种方法效果是否一样？服务里禁止后会影响正常使用么？

我以前已经在“Internet协议”禁用TCP/IP上的NetBIOS了，为什么服务里还开着啊？

[打开“控制面板”，进入“管理工具”，选择“服务”。找到“TCP/IP NetBIOS Helper”这一服务，选择“禁止”即可。]
我的机器"服务"里怎么找不到这一项.看了好几遍了就是没有哟.怪不怪.

引用:

【心如大海的贴子】【回复“天下奇才”的帖子】 楼上所说的两种方法效果是否一样？服务里禁止后会影响正常使用么？ 我以前已经在“Internet协议”禁用TCP/IP上的NetBIOS了，为什么服务里还开着啊？ ...........................

这个我也搞不清楚，我是在禁用了两个以后，才没过多拦截135-139端口的信息的抱歉

学习了.

呵呵，
本人中过了，一开始还以为是冲击波，但看进程不对，看过此贴打了补丁后没有再发生过。
谢谢楼主……

楼主有样本吗?

我的操作系统是盗版的2000能装sp4补丁吗?

从来没有中过这样的病毒，但是据说听可怕的！
我中的病毒不知道是什么，不过害的我换了个硬盘！

看的头昏眼花啊～～
不过还是顶

学习学习

晕

我该怎么办

2000随便装补丁，没事，我也是D版的，一样在网上更新。

病毒总是这样缠绕着我这样的菜鸟

ding