主题 : [注意]关于W32.HLLW.Gaobot
枯れない花
级别: 论坛版主
UID: 11
精华: 0
发帖: 2266
威望: 8 星
金钱: 381185 浮游币
贡献值: 8813 点
好评度: 7896 点
人气: 1049 点
在线时间: 1384(时)
注册时间: 2004-03-24
最后登录: 2023-04-20
楼主  发表于: 2004-04-30 11:27

[注意]关于W32.HLLW.Gaobot

Agobot (F-Secure)
Backdoor.Agobot (Kaspersky)
W32/Gaobot.worm (McAfee)
W32/Agobot (Sophos)
W32.HLLW.Gaobot (Symantec)
W32.HLLW.Gaobot.Gen (Symantec)
WORM_AGOBOT (Trend Micro)
WORM_AGOBOT.GEN (Trend Micro)
w32.hllw.gaobot.gen
w32.hllw.gaobot.qen

感染后,会有不同的反应,比如占用带宽,系统变慢等~~~
不过,最让人头痛的,是Gaobot大多数的变种,都会更改HOSTS文件,强制把symantec/Sophos/Panda等知名AV厂商的网络地址映射到127.0.0.1。。。。所以,这些AV软件都无法进行Online Update了~~~所以如果某日你的AV软件升级不可了~~就有可能是被感染咯~~~em32.gif

删除方法嘛~~~现在已知的,这个病毒会把自己隐藏在System32目录下,化名为winstart.exe/svnhost.exe/winrtx.exe/msmscfg.exe/pb.exe/ntvda.exe/msconfsys88.exe/wmiprvsa.exe/winini32.exe还有可能是winamp.exe em32.gif ~~~ 首先要在任务管理器删除相应的进程…………然后,再编辑注册表,在HKLM\Software\Microsoft\Windows\CurrentVersion\的Run和RunServices键下,删除相应的键值…………

之后,在%WINDOWS%\System32\Drivers\etc\目录中,编辑HOSTS.文件……把除local host以外,映射到127.0.0.1的地址全部删掉就可以了~~~~

还有,这个病毒的传播方法,大多数是从邮件和局域网传播~~~所以,不乱收邮件,以及一个必要长度和复杂度的管理员密码~~是非常必要滴~~~至于M$的RPC漏洞补丁…………大概不会有人忘记打吧~~~不打补丁,中毒也是活该………… wdb3.gif
级别: *
UID: 0
精华: *
发帖: *
威望: * 星
金钱: * 浮游币
贡献值: * 点
好评度: 0 点
人气: 0 点
在线时间: (时)
注册时间: *
最后登录: *
沙发  发表于: 2004-04-30 11:57

引用 (Taburiss @ 2004-04-30 11:29:24)
都会更改HOSTS文件,强制把symantec/Sophos/Panda等知名AV厂商的网络地址映射到127.0.0.1。。。。

我这是没中这东西,问题是,我手工把这些家伙们定为不访问站点,和他的操作是一样的......

127.0.0.1的IP地址给他们了。
哈哈