最近有朋友在windows7系統下啟動網絡共享的時候�����,無法正常啟用共享訪問����,系統提示錯誤1061 ��,即服務無法在此時接受控制信息,這是怎么回事呢��?該怎么辦呢��?其實出現這個問題的主要原因是系統中了蠕蟲病毒的危害才引起的,具體情況看看下面的介紹吧���。
分析原因:
病毒名稱:蠕蟲病毒Win32.Luder.I
其它名稱:W32/Dref-U (Sophos), Win32/Luder.I��!Worm��, W32.Mixor.Q@mm (Symantec)��, W32/Nuwar@MM (McAfee), W32/Tibs.RA (F-Secure), Trojan-Downloader.Win32.Tibs.jy (Kaspersky)
病毒屬性:蠕蟲病毒
危害性:中等危害
流行程度:高
具體介紹:
病毒特性:
Win32/Luder.I是一種通過郵件傳播的蠕蟲���,并寄存在PE 文件和RAR 文件中進行傳播。另外,它還會生成一個特洛伊,用來下載并運行其它的惡意程序���。它是大小為17,559字節的Win32可運行程序。
感染方式:
運行時�����,Win32/Luder.I復制到%System%\ppl.exe �����,并設置文件屬性為隱藏�。隨后�,修改以下注冊表鍵值,以確保在每次系統啟動時運行這個副本:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\agent = “%System%\ppl.exe.�。����。”HKCU\Software\Microsoft\Windows\CurrentVersion\Run\agent = “%System%\ppl.exe.����。。”
注:‘%System%’是一個可變的路徑。病毒通過查詢操作系統來決定當前系統文件夾的位置���。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32���; 95���,98 和 ME 的是C:\Windows\System����; XP 的是C:\Windows\System32。
Luder還生成并運行一個任意名稱的文件��,檢測出是Win32/Sinteri����!downloader特洛伊病毒。蠕蟲還生成“kkk33ewrrt”互斥體�,以確保每次只有一個副本運行�����。
傳播方式:
通過郵件傳播蠕蟲從本地系統獲取郵件地址來發送病毒。它通過以下注冊表鍵值在Windows Address Book中查找郵件地址:HKCU\Software\Microsoft\WAB\WAB4\Wab File Name接著�,搜索從 ‘Z:\&; 到 ‘C:\&; 驅動器上帶有以下擴展名的文件:
rar
scr
exe
htm
txt
ht
a 蠕蟲執行DNS MX (mail exchanger)查詢�����,為每個域找到適合的郵件服務器來發送病毒�。它使用本地配置的默認的DNS服務器來執行這些查詢�����。
Luder.I嘗試發送郵件到它收集的每個郵件地址�����。蠕蟲發送的郵件帶有以下特點:
發件地址:
蠕蟲使用任意名稱(從蠕蟲自帶的一個列表中選擇)帶有一個任意數字�,和接受目標的域名結合,生成一個偽造的收件地址����,例如:Clarissa26@domain.com�。
主題可能是:Happy New Year���!
附件名稱:postcard.exe
通過文件感染-PE文件Luder.I每次發現一個帶有“exe” 或 “scr” 擴展名的文件�����,都使用《random name》.t文件名復制病毒到文件所在目錄����,并設置為隱藏文件����。
注:《random name》由8個小寫字母組成。例如:“vrstmkgk.t”���。
Luder.I檢查文件的PE頭,來查看是否有足夠的空間運行��,并在中間插入一個代碼����。另外,它不會感染已經被感染的DLL或可執行文件�。如果被運行�,它首先運行相關的《random name》.t��。Luder.I在被感染文件的PE頭的timestamp中寫入666作為一個標記��,避免再次感染同一文件。
注:生成的《random name》.t文件即使不滿足感染的所有條件����,也不會被Luder.I修改。
通過文件感染-RAR文件
Luder.I添加《random filename》.exe到每個發現的RAR文檔中,這里的《random filename》是7個字母與數字��,例如“dnoCV18.exe”���。每當Luder.I運行時����,文檔可能被多次感染。
危害:
下載并運行任意文件Luder.I生成一個文件用來下載其它惡意程序到被感染機器上���。下載的文件包括Win32/Sinteri, Win32/Sinray���, Win32/Sinhar 和Win32/Luder的其它變體。
終止進程
每隔4秒���,如果注冊表編輯器(regedit.exe)和名稱中包含以下字符串的其它進程(顯示在Windows Title Bar中)正在運行,Luder.I就會嘗試終止注冊表編輯器和這些進程:anti
viru
troja
avp
nav
rav
reged
nod32
spybot
zonea
vsmon
avg
blackice
firewall
msconfig
lockdown
f-pro
hijack
taskmgr
mcafee
修改系統設置
Luder.I修改以下注冊表鍵值����,使得“Windows Firewall/Internet Connection Sharing (ICS)”(還稱為“Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)”)服務失效:HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 4
清除:
KILL安全胄甲InoculateIT 23.73.102���,Vet 30.3.3288版本可檢測/清除此病毒�。
kill版本:
修復錯誤的方法:
進入注冊表查找下面鍵值改成4就可以修復internet共享的問題����。Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]“Start”=dword:00000004
不少朋友在windows7系統下啟用網絡共享訪問時遇到了系統提示錯誤1061問題��,這主要是有系統遭受病毒攻擊所致,用戶只有掌握了病毒的屬性����、危害�,才能更進一步地掃清病毒�����,解決問題。
