病毒名称：“狙击波”（Worm_Zotob.A）
病毒类型：蠕虫
病毒级别：三级
感染系统：Windows 2000, Windows NT, Windows XP（未安装SP2）
病毒长度：22,528字节
其它命名：Worm.Zotob.a（金山）
　　　　　I-Worm.Zobot
　　　　　W32.Zotob.A（Symantec）
　　　　　Zotob.A （F-Secure）
　　　　　W32/Zotob.worm （McAfee）
　　　　　W32/Zotob-A （Sophos）
　　　　　WORM_ZOTOB.A （Trend）

病毒特征：
     该蠕虫已先后出现了B、C、D三个变种。
其变种C，除了通过微软漏洞传播以外，还可以通过电子邮件传播，带毒邮件的主题和内容均不固定，如主体为"Warning!! 、Hello 、Confirmed、Important!"，邮内容为：We found a photo of you in ... ；That's your photo!!? ；0K here is it!......等。

　　“狙击波” (Worm_Zotob.A)及其变种是利用几天前微软刚刚公布的系统严重漏洞（Windows Plug and Play 服务漏洞 (MS05-039)）攻击TCP端口445，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。

　　另外与震荡波、冲击波发作时的现象类似，系统受到攻击后，会不断重启，受影响的系统关键进程名称为“Service.exe”。

1、在%System%目录下生成botzor.exe。（其中，%System%是Windows的系统文件夹，通常是 C:\Windows\System、C:\WINNT\System32或C:\Windows\System32）

2、病毒创建注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建注册项"WINDOWS SYSTEM" = "botzor.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService下创建注册项"WINDOWS SYSTEM" = "botzor.exe"

　　病毒还会将注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesSharedAccess中的键值"Start"的值改为0x00000004以便阻止WinXP自带的防火墙运行。

3、蠕虫通过漏洞（MS05-039）\对网络中445端口的扫描,发现没有安全漏洞补丁,就会通过445端口进行传播。

4、病毒被激活后，会连接到服务器diabl0.turkcoders.net，黑客能够通过服务器向被感染的机器发送命令。
。病毒还会修改HOST文件，以便阻止被感染的用户访问防病毒软件厂商的主页。

附录一 ：被病毒禁止访问的安全厂商网站

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

如何清除

1、关闭进程“botzor.exe”。
2、打开注册表，删除病毒文件的键值HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunService
3、查找文件“botzor.exe”，并将找到的文件删除。

专杀工具  http://www.duba.net/download/3/239.shtml

下载漏洞补丁  http://www.microsoft.com/china/technet/security/bulletin/MS05