今天发现服务器速度很慢,上去一看吓一跳竟然200多个进程,多了很多CMD进程,这种情况可能是被黑客入侵,也可能是蠕虫病毒.在网上找了不少资料,但中文的资料相对很少,找到一片杀毒方法,共享一下,也许你也在找它呢感谢下原作者.
原创:香水坏坏 出处:http://www.gotod.com(如需转载,请著名出处) 电邮:daniel.lin#gotod.com
说明:国内各大杀毒软体公司(eg:瑞新),截止目前还未提供针对该病毒的杀毒库以及相关工具
*********************************************************************************************************************************
病毒描述
文件名:spsys.exe
最早样本截取时间:2005-12-16
文件位置:%系统文件夹%
启动类型:系统服务形式
服务名称显示为:SP service
受影响的系统:windows2000,XP,2003
描述:
通过RPC/DCOM攻击传播,通过发送伪造代码为DCOM服务能够获取目标主机完全控制权限。需要RPC TCP 135端口。
危害:
自动开启端口6667,允许连接到一个 在线聊天系统 服务器(asd.amberxcv.com)的#omeg3频道。一旦连接上,一个远断恶意用户受感染系统的控制权。并且能够执行如下而已操作:
1 修改 在线聊天系统服务
2 断开或重连服务器
3 从FTP服务器下载文件
4 执行FTP服务器文件
5 下载WEB服务器文件
6 任意衍生一个新的副本
7 键盘记录
************************************************************************************************************************************************
删除方法
1 查看系统服务,禁止SP service 服务
2 删除注册表如下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spsys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SaftBoot\Minimal\SPsys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SaftBoot\Network\SPsys
3 重启系统,删除%系统文件夹%spsys.exe 文件
***************************************************************************************************************************************************
后记:这个东西真的很讨厌,在机器上开启大量端口,浪费网络资源,上网查资料,所有中文网站还没有任何解决办法,就连好多最新的杀毒软体都没有此病毒的记录。
故在解决问题后,写此教程,希望能给同样碰到类拟问题的朋友给予帮助!
