<iframe align="top" marginwidth="0" marginheight="0" src="http://www.zealware.com/46860.html" frameborder="0" width="468" scrolling="no" height="60"></iframe>
兄弟公司开发组网络瘫痪,第一时间赶去Troubleshoot,经过检查,原来是一种较新的蠕虫病毒。
症状:系统进程中存在一个dxdmain.exe的进程,Kill掉后会自动重新启动,使用HijackThis可以发现一项:
O23 - Service: DirectX Graphics - Unknown Owner - C:\WINDOWS\System32\dxdmain.exe
使用Services.msc打开服务,可以看到有一项DirectX Graphics的服务,指向%systemroot%\dxdmain.exe(也可能是%systemroot%\system32\dxdmain.exe),禁止此服务,将会在下次重启自动启动,并且此蠕虫修改了注册表文件,在安全模式下也加载了,故安全模式下无法删除此文件,此蠕虫会在后台运行,开启一个远程后门给入侵者通过IRC Channels(Port 6556)远程控制用,带有反弹型木马的性质,并且如果多台机器都同时中了,还会因为大量的数据包严重阻塞网络,影响正常上网。
解决办法:由于网上关于此蠕虫讨论很少,似乎没有什么手动删除的办法,我的尝试是先禁用此服务,然后搜索所有注册表项/值并删除之,并kill掉进程,删除系统目录下的dxdmain.exe文件,重启后问题解决。不过最重要的,是打好Windows和MSSQL的安全补丁,此蠕虫利用了微软的缓冲区溢出漏洞进行传播,包括LSASS (MS04-011), RPC-DCOM (MS04-012) and MSSQL (MS02-039)。
以下是Sophos病毒信息库对此病毒的信息,更新日期是27 Jul 2005(刚好是我接到故障处理电话的那天,传播得真快 -_-!):
http://www.sophos.com/virusinfo/analyses/w32codboto.html
W32/Codbot-O is a worm with backdoor functionality for the Windows platform.
W32/Codbot-O spreads to other network computers by exploiting common buffer overflow vulnerabilites, including: LSASS (MS04-011), RPC-DCOM (MS04-012) and MSSQL (MS02-039) (CAN-2002-0649). The following patches for the operating system vulnerabilities exploited by W32/Codbot-O can be obtained from the Microsoft website:
MS04-011
MS04-012
MS02-039 (问题就在于,开发组的所有机器MSSQL都没有打SP,汗~~)
W32/Codbot-O runs continuously in the background, providing a backdoor server which allows a remote intruder to gain access and control over the computer via IRC channels.
When first run W32/Codbot-O copies itself to \dxdmain.exe.
W32/Codbot-O is registered as a new system driver service named "dxdmain", with a display name of "DirectX Graphics" and a startup type of automatic, so that it is started automatically during system startup. Registry entries are created under:
HKLM\SYSTEM\CurrentControlSet\Services\dxdmain\
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=462555
分享到:
相关推荐
pthreads-w32-2-8-0-release.zip 非常好用
windows 上的pthread适配。
pthreads-w32-2-7-0-release
pthreads-w32-2-8-0-release
pthreads-w32-2-9-1-release windows10版,亲测可用。
window下的线程,设置pthreads-w32-2-8-0-release
为visual studio配置线程库所需的压缩包,且该资源可以为广大Windows用户提供便捷的下载方式,不会再受制于速度限制。
C语言多线程支持安装包
pthreads-2-9-1的32位和64位库,采用VS2013...但是Microsoft Windows上的实现也存在,例如直接使用Windows API实现的第三方库pthreads-w32;而利用Windows的SFU/SUA子系统,则可以使用微软提供的一部分原生POSIX API。
运行这个文件选择Extract,会出现Pre-built.2,pthreads.2,QueueUserAPCEx这三个文件,然后选取Pre-built.2文件中的include和lib文件,把它们放到对应C++安装目录中的include和lib文件中,即D:\Program Files (x86)...
pthreads-w32-2.9.1-release.zip
上传时是最新版(20210528),官方下载非常慢,就来上传一个
安装pthreads-w32-2-8-0-release.exe,里面会有源码和生成好的pthread 动态库。其中Pre-built.2\lib\pthreadVSE2.lib为win32平台库,可直接使用,若想编译源码,可按帮助文档来。
window版本的pthreads,用于C++多线程。 包含头文件pthread.h后,运行可能会提示错误 : 错误 1 error LNK2019: 无法解析的外部符号 __imp__pthread_create,该符号在函数 _main 中被引用 此时需要在代码中加入 ...
tesseract-ocr,应用于图片提取文字,版本号:v5.0.0,32位windows操作系统安装包,你值得拥有!