来源:http://blog.csdn.net/lluiss/archive/2004/09/09/99783.aspx

以前在本科的时候几乎是一个月装一次系统，去年7月装了一个E文版的XP，没想到一用到现在，期间经历了冲击波、震荡波，都安然无恙，简直是奇迹。不过装的东西太多，C盘只剩几十M了，清来清去实在挤不出什么空间来了，只好痛下决心重装系统。有过以前的经验，装系统时把网线拔了，装好Norton再上网，马上更新病毒库、Windows打补丁。不过在这稍纵即逝的机会还是被无孔不入的病毒抓住了，今天开机发现系统特别慢，Norton发现了W32.spybot.worm病毒，但杀不掉，只好到晚上搜，下面就是整理的一个解决办法，经过验证，确实可行。

一、W32.Spybot.Worm 病毒的特点

病毒名称：Win32.Spybot
别名：W32.Spybot.Worm (Symantec), W32/Spybot.worm.gen (McAFee),Win32.Spybot.gen, Win32/P2P.SpyBot.Variant.Worm

种类：Win32
类型：蠕虫

疯狂度：低
破坏性：中
普及度：中

特性

　　Win32.Spybot 是一种在线网络聊天系统机器人（BOT）的开放性源代码蠕虫病毒，由于它的开放性和管理方式都来源于这些分布的机器人，这些广泛的机器人变量都有一些很微小的不同，通过远程用户在线聊天系统可以最多控制一台计算机的一些管理功能，同时它也有能力传播到点对点网络（P2P Networks）。

除这些标志的隐蔽功能外，它还具有以下功能：

■ 集合了关于本地计算机的配置信息，包括连接的类型、CPU速度和本地驱动的信息说明；
■ 在本地计算机安装和删除的文件；
■ 在本地计算机执行各色各样的命令；

Win32.Spybot还具有以下的能力（依靠不同的变量）

■ 传播途径：点对点网络、后门木马系统、Kuang木马和Sub Seven木马
■ 键盘操作记录（例如：计算机键盘敲击日志）
■ 毁掉防火墙和杀毒软件程序避免被察觉
■ 担当一个程序服务协议

Spybot通过安装它自身到注册表，以下就是默认的修改列表：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　这些机器人（Bots）通常是为了引导拒绝分布服务程序，尽管它也可以使用数字和做出一些不合逻辑的做法，例如：端口扫描、兜售信息（垃圾邮件）、传播一些不可信任的对象。


这个病毒Symantec 定为2 级，没有专杀工具，这段时间不少人感染，而且Symantec 只能发现无法清除。（要在安全模式下才能清除）。但注册表中的垃圾需要手工清除。W32.Spybot.Worm 是透过 KaZaA 文件共享和mIRC 扩散的蠕虫，也会透过受感染计算机的后门而扩散。藉由连上特殊设定的IRC Server，W32.Spybot.Worm 可以执行不同后门功能，加入不同的频道倾听指令。
中文：W32.Spybot.Worm 的变种会使用下面的漏洞进行传播：
•MS03-026
( http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx )
使用 TCP port 135 的 DCOM RPC 弱点。
•MS04-011
(http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx) 微
软本机安全性认证服务远程缓冲区弱点
•MS02-061
( http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx )
使用 UDP port 1434 MS-SQL 2000 或MSDE 2000 验证弱点
•MS03-007
( http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx )
使用 TCP port 80 的 WebDAV 弱点
•MS01-059
( http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx )
UPnP 通知缓冲区弱点
•MS03-049
( http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx )
使用 TCP port 445 的工作站服务缓冲区溢位弱点，
Windows XP 的使用者只要有安装MS03-043
http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx )
就可以避免此弱点，Windows 2000 用户必须安装 MS03-049

类型： 蠕虫
感染长度： 不一定
受影响系统 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
不受影响系统 DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows
3.x
危害：
1. 将个人数据送到 IRC 频道
2. 在受感染计算机上执行未经认证的命令
3. 会造成本地局域网网络拥塞
二、清除步骤
1、隔离计算机：断开所有计算机的网络连接，逐一清除每一台计算机，必须要
做到网络中的每一台计算机都不放过。
2、清除病毒：
（1）关闭WINXP 和WINME 系统的“系统还原”功能，右键点击“我的电脑”—
—〉属性——〉系统还原——〉关闭所有盘上的系统还原功能
（2）更新Symantec 防毒软件到最新的病毒定义码
（3）重新启动计算机到安全模式
（4）对计算机做手动完全扫描
（5）记录被感染的文件名，并删除受感染的文件（可能防毒软件会删除，也可
以手工删除）关键一步这就是删除感染病毒体的文件
（6）备份注册表：开始——运行——〉输入“regedit”——〉注册表——〉导
出注册表文件
（7）检查注册表中的一下各项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
unOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
unServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer
sion\Run
删除刚才记录的文件名键值
（8）针对不同的操作系统，安装我列出的补丁，这一点是这样的虽然上面提
到这么多补丁，但实际上安装的时候按照以下方式安装即可：
Win2k:先安装sp4 然后安装下面的HOTFIX，具体可供过微软站搜索下载
Windows2000-KB824146-x86-CHS.exe
Windows2000-KB835732-x86-CHS.EXE
Windows2000-KB828749-x86-CHS.exe
Windows2000-KB828035-x86-CHS.exe
WinXP：先安装SP1 然后安装下面列出的HOTFIX（SP2 出来了可以直接
安装SP2 省去很多麻烦）:
WindowsXP-KB824146-x86-CHS.exe
WindowsXP-KB828035-x86-CHS.exe
WindowsXP-KB835732-x86-CHS.EXE
（9）将具有系统管理员权限的用户的口令设置为7 位以上的复杂密码
需要注意的是：安装了所提供的补丁仅仅可以防止这个蠕虫病毒的传播，但
系统仍然不安全，非常有必要通过Windows update 更新其它关键的更新。

注：主要参考Symantec 对该病毒的分析。
2004 年8 月8 日
Write By kernel
(http://bbs.netbuddy.org)