[安全] 安全防范之手工删除假警察的方法

（1） 打开注册表编辑器,删除如下键值<如果存在的话>：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Sassfix=%SYSTEM%package.exe

（2） 打开任务管理器查看是否存在进程名为：package.exe（文件为%SYSTEM%package.exe）终止它

（3） 将%SYSTEM%system，C:Documents and SettingsAll UsersMain menuProgramsStartUp目录及C:Documents and SettingsAll UsersStart MenuProgramsStarup目录下的文件：package.exe删除。

注：%SYSTEM%是Windows系统的核心动态库所在目录，在Windows9X/ME下默认为：C:WINDOWSSYSTEM，Windows 2000/XP下默认为：C:WINNTSYSTEM32。

相关内容：

“假警察”(Worm.Win32.Dabber.a) 利用“震荡波”的后门及系统MS-4011漏洞进行传播，会尝试清除系统里的“震荡波”、“恶鹰”、“网络天空”等多个电脑病毒，可能造成系统异常。占用大量网络资源，可能会造成企业局域网运行缓慢甚至瘫痪。

Windows 9X（可感染，但无危害）NT/2000/XP（可危害）

1．复制自己到系统目录并实现自启动

病毒运行后，将自己复制到%SYSTEM%目录，c:Documents and SettingsAll UsersMain menuProgramsStartUp目录及c:Documents and SettingsAll UsersStart MenuProgramsStarup目录中，文件名为：package.exe。在注册表HKEY_LOCAL_MACHINESOFTWARE

MicrosoftWindowsCurrentVersionRun中加入自己的键值：sassfix=%system%package.exe，病毒使用"sas4dab"为互斥量。

2．试图清除一些病毒的注册表键值：

尝试删除注册表Run项中的以下键值，使之不能正常启动：

Video Process.
            TempCom.
            SkynetRevenge
            MapiDrv
            BagleAV
            System Updater Service
            soundcontrl
            WinMsrv32
            drvddll.exe
            navapsrc.exe
            skynetave.exe
            Generic Host Service
            Windows Drive Compatibility
            windows.Microsoft Update
            Drvddll.exe
            Drvddll_exe
            drvsys
            drvsys.exe
            ssgrate
            ssgrate.exe
            lsasss
            lsasss.exe
            avserve2.exe
            avvserrve32.avserve

3．建立四个线程实现一些功能。

（1）后门：

病毒监视9898端口，等待客户端的连接。该后门可以执行一些如：执行文件，从特定网站下载文件等功能。

（2）TFTP服务器：

病毒监听69端口，实现一个tftp服务器，一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。

（3）一个空线程：

病毒作者并没有实现任何代码。（可能下个版本将实现）

（4）利用漏洞进行攻击

病毒利用本地系统的ip进行计算，找到攻击目标地址并尝试对其5554端口（震荡波的后门）的连接。

A．如果联接失败：

病毒将尝试对其9898端口的连接（用以识别目标系统是否已被病毒感染过），失败（目标系统没有被病毒感染）时病毒利用MS04-011漏洞对目标系统进行攻击，并利用自己的tftp服务器将自己复制过去。

B．联接成功：

病毒将尝试对其9898端口的连接（用以识别目标系统是否已被病毒感染过）当失败（目标系统没有被病毒感染）时病毒利用震荡波的后门将自己复制过去。