解决办法:
1、获得相应系统的最新的微软补丁,下载地址:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
由于蠕虫修改了hosts文件,可通过其他系统获得补丁,或者直接将hosts文件中新增加的上述内容删除。
2、该蠕虫特征:
1、在系统上创建一个名为B-O-T-Z-O-R的互斥体以确保只有1个感染的蠕虫在运行
2、复制自身到以下位置:
%System%\csm.exe
3、修改下面的注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在这两项下添加键值:"csm Win Updates" = "csm.exe",以便能够在系统启动时执行。
4、修改下面的键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
设置为4,禁止Win2000/XP的共享访问服务
5、通过TCP8080端口连接到IRC服务器wait.atillaekici.net
6、在TCP33333端口开启一个FTP服务
7、产生随机IP地址,并试图进行扫描感染这些地址的主机,通过利用即插即用服务(Plug and Play )漏洞(MS05-039),蠕虫会在目标系统上打开TCP8888端口的后门,并进行感染
8、复制%System%\2pac.txt文件到新感染的系统上,并执行其中的FTP脚本
9、通过开启的FTP服务,下载%System%\haha.exe文件并在新目标上执行
10、增加下面内容到hosts文件,会导致无法通过域名访问或者更新病毒库;
删除上述注册表被增加内容,以及相应增加的文件。
3、在防火墙或者IP安全策略上BLOCK以下端口:
TCP 139/445
TCP 8080
TCP 3333
