安全防范之手工删除假警察的方法 

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　Sassfix=%SYSTEM%\package.exe

　　(2) 打开任务管理器查看是否存在进程名为:package.exe(文件为%SYSTEM%\package.exe)终止它

　　(3) 将%SYSTEM%\system，C:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及C:\Documents and Settings\All Users\Start Menu\Programs\Starup目录下的文件:package.exe删除。

　　注:%SYSTEM%是Windows系统的核心动态库所在目录，在Windows9X/ME下默认为:C:\WINDOWS\SYSTEM，Windows 2000/XP下默认为:C:\WINNT\SYSTEM32。

　　相关内容:

　　“假警察”(Worm.Win32.Dabber.a) 利用“震荡波”的后门及系统MS-4011漏洞进行传播，会尝试清除系统里的“震荡波”、“恶鹰”、“网络天空”等多个电脑病毒，可能造成系统异常。占用大量网络资源，可能会造成企业局域网运行缓慢甚至瘫痪。

　　Windows 9X(可感染，但无危害)NT/2000/XP(可危害)

　　1.复制自己到系统目录并实现自启动

　　病毒运行后，将自己复制到%SYSTEM%目录，c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中，文件名为:package.exe。在注册表HKEY_LOCAL_MACHINE\SOFTWARE

　　\Microsoft\Windows\CurrentVersion\Run中加入自己的键值:sassfix=%system%\package.exe，病毒使用"sas4dab"为互斥量。

　　2.试图清除一些病毒的注册表键值:

　　尝试删除注册表Run项中的以下键值，使之不能正常启动:

以下是引用片段：   Video Process.   TempCom.   SkynetRevenge   MapiDrv   BagleAV   System Updater Service   soundcontrl   WinMsrv32   drvddll.exe   navapsrc.exe   skynetave.exe   Generic Host Service   Windows Drive Compatibility   windows.Microsoft Update   Drvddll.exe   Drvddll_exe   drvsys   drvsys.exe   ssgrate   ssgrate.exe   lsasss   lsasss.exe   avserve2.exe   avvserrve32.avserve

　　3.建立四个线程实现一些功能。

　　(1)后门:

　　病毒监视9898端口，等待客户端的连接。该后门可以执行一些如:执行文件，从特定网站下载文件等功能。

　　(2)TFTP服务器:

　　病毒监听69端口，实现一个tftp服务器，一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。

　　(3)一个空线程:

　　病毒作者并没有实现任何代码。(可能下个版本将实现)

　　(4)利用漏洞进行攻击

　　病毒利用本地系统的ip进行计算，找到攻击目标地址并尝试对其5554端口(震荡波的后门)的连接。

　　A.如果联接失败:

　　病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)，失败(目标系统没有被病毒感染)时病毒利用MS04-011漏洞对目标系统进行攻击，并利用自己的tftp服务器将自己复制过去。

　　B.联接成功:

　　病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用震荡波的后门将自己复制过去。