netddesrv.exe样本分析和清除方法
文件名称:netddesrv.exe
文件长度:23,040字节
类型:蠕虫
名称:
W32.Toxbot (Symantec);Backdoor.Win32.Codbot.at (Kaspersky Lab);W32/Sdbot.worm.gen (McAfee);Win32.Detox.based (Doctor Web);W32/Codbot-Z (Sophos);Worm/CodBot.19792 (H+BEDV);Dropped:Trojan.Deletme.A (SOFTWIN);W32/Sdbot.EZD.worm (Panda);Win32/Codbot (Eset)
受影响系统:
Windows 95;Windows 98;Windows 2000;Windows NT; Windows Me;Windows XP
蠕虫特征
蠕虫运行后会产生如下特征:
1.连接IRC服务器;
1)连接IRC服务器的域名、IP、连接端口情况如下:
|
域名
|
IP
|
端口
|
所在国家
|
|
0x80.online-software.org
|
194.109.11.65
|
TCP/6556,TCP/1023
|
荷兰
|
|
0x80.martiansong.com |
64.202.167.129 |
TCP/6556,TCP/1023
|
美国
|
|
0x80.my1x1.com |
194.109.11.65 |
TCP/6556,TCP/1023
|
荷兰
|
|
0x80.goingformars.com |
64.202.167.129 |
TCP/6556,TCP/1023
|
美国
|
|
0x80.my-secure.name |
194.109.11.65 |
TCP/6556,TCP/1023
|
荷兰
|
|
0xff.memzero.info |
无法解析 |
TCP/6556,TCP/1023
|
|
2)连接频道:#26# ;密码:g3t0u7
2.扫描随机产生的IP地址,并试图感染这些主机;
3.运行后将自身复制到%System%netddesrv.exe;
4.在系统中添加名为NetDDE Server的服务,并受系统进程services.exe保护。
手工清除方法
该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正常模式下清除蠕虫。手工清除该蠕虫的相关操作如下:
1.断开网络;
2.恢复注册表;
打开注册表编辑器,在左边的面板中打开并删除以下键值:
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinmalNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetworkNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBootMinmalNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBootNetworkNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSafeBootMinmalNetDDEsrv
HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ControlSafeBootNetworkNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesNetDDEsrv
3.重新启动计算机;
4.删除蠕虫释放的文件;
删除在%system%下的netddesrv.exe文件。(%system%是系统目录,在win2000下为c:winntsystem32,在winxp下为c:windowssystem32)
5.运行杀毒软件,对系统进行全面的病毒查杀;
6.安装微软MS04-011、MS04-012、 MS04-007漏洞补丁。
