[推荐]SMSC混合蠕虫(Worm.ForBot.a)

断空斩月

混合蠕虫 (Worm.ForBot.a)，蠕虫病毒，随机自启动，通过IRC和多种系统漏洞传
播，感染系统后会终止系统中多种反病毒软件进程，对众多网站发动DoS（拒绝服务）攻击，还会窃取游戏序列号，该蠕虫可能影响网络速度，造成网络堵塞。

　　病毒信息：

　　病毒名称: Worm.ForBot.a
　　中文名称： 混合蠕虫
　　威胁级别: 3A
　　受影响系统: Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

　　技术特点：（点击查看详情）


A、通过IRC进行传播，控制感染机器。

B、利用多种微软漏洞进行传播。

C、在系统安装目录下生成如下文件,并将病毒前一个运行文件删除：
%System%\\smsc.exe
smsc并运行这个新生成的文件

D、在注册表主键：
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
下添加如下键值：
\"Win32 USB 2 Driver\" = \"smsc.exe\"

E、创建一个名为\"Win32 USB 2 Driver\"服务

F、对下列网站进行DOS攻击
www.schlund.net
www.utwente.nl
verio.fr
www.1und1.de
www.switch.ch
www.belwue.de
de.yahoo.com
www.xo.net
www.stanford.edu
www.verio.com
www.nocster.com
www.rit.edu
www.cogentco.com
www.burst.net
nitro.ucsc.edu
www.level3.com
www.above.net
www.lib.nthu.edu.tw
www.st.lib.keio.ac.jp
www.d1asia.com
www.nifty.com
yahoo.co.jp

DOS攻击包括
HTTP FLOOD
UPD FLOOD
PINF FLOOD
SYN FLOOD

G、获取游戏CD-Key
Battlefield 1942
Black and White
Command and Conquer
Counter-Strike
FIFA 2002
FIFA 2003
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
IGI2 Covert Strike
Industry Giant 2
James Bond 007 Nightfire
Medal of Honor Allied Assault
Medal of Honor Allied Assault Breakthrough
Medal of Honor Allied Assault Spearhead
Nascar Racing 2002
Nascar Racing 2003
NHL 2002
NHL 2003
Need For Speed Hot Pursuit 2
Need For Speed Underground
Neverwinter Nights
Ravenshield
Shogun Total War Warlord Edition
Soldiers Of Anarchy
Soldier Of Fortune 2
The Gladiators
Unreal Tournament 2003

H、会对关闭多种杀毒软件的进程
ACKWIN32.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
ALERTSVC.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVWIN95.EXE
AVWINNT.EXE
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
AckWin32.EXE
AutoTrace.EXE
AvSynMgr.AVSYNMGR.EXE
AvgServ.EXE
Avgctrl.EXE
AvkServ.EXE
Avsched32.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
BlackICE.EXE
CDP.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95CF.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMON016.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CTRL.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
Claw95.EXE
Claw95cf.EXE
DEFWATCH.EXE
DEPUTY.EXE
DOORS.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEB32.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFPEADM.EXE
ENT.EXE
ESAFE.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
ESPWATCH.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE
EXPERT.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FAST.EXE
FINDVIRU.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN.EXE
FP-WIN_TRIAL.EXE
FPROT.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE



　　解决方案:

　　· 请使用金山毒霸2004年06月14日的病毒库可完全处理该病毒；

　　· 手工解决方案：
　　
　　首先，如果系统为WinMe或WinXP，则请先关闭系统还原功能；
　　（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能）

　 对于系统是Win9x/WinMe：

　 步骤一，删除病毒主程序
　 请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为
　 C:\\windows），分别输入以下命令，以便删除病毒程序：
　 C:\\windows\\>cd system
　 C:\\windows\\system\\del smsc.exe
　 完毕后，取出系统软盘，重新引导到Windows系统。
　 如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　 步骤二，清除病毒在注册表里添加的项
　 1、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　 在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run
　 找到并删除如下项目：
　 \"Win32 USB 2 Driver\" = \"smsc.exe\"

　 2、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　 在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices\\
　 找到并删除如下项目：
　 \"Win32 USB 2 Driver\" = \"smsc.exe\"

　 3、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　 在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
　 找到并删除如下项目：
　 \"Win32 USB 2 Driver\" = \"smsc.exe\"
　 关闭注册表编辑器。


　 对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever：

　 步骤一，使用进程序管里器结束病毒进程
　 右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务
　 管理器中，单击“进程”标签，在例表栏内找到病毒进程“smsc.exe”，单击“结束进程按
　 钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　 步骤二，查找并删除病毒程序
　 通过“我的电脑”或“资源管理器”进入系统目录(Winnt\\system32或windows\\system32)，找
　 到文件\"smsc.exe\", 将其删除；

　 步骤三，清除病毒在注册表里添加的项
　 参考Win9x/WinMe

　 3、将微软的补丁升级完全
　 依次打开，开始菜单→程序→Windows Update；进行系统升级。

　 4、不要下载或打开不知来源的文件。