以文本方式查看主题

-  堕落街论坛  (http://duoluojie.1314179.com.cn:443/index.asp)
--  游戏体育  (http://duoluojie.1314179.com.cn:443/list.asp?boardid=331)
----  震荡波病毒专题  (http://duoluojie.1314179.com.cn:443/dispbbs.asp?boardid=331&id=44814)
--  作者:苹果的滋味
--  发布时间:2004/10/29 1:22:35
--  震荡波病毒专题

2004年5月1日,“震荡波(Worm.Sasser)”病毒在网络出现,该病毒也是通过系统漏洞进行传播的,感染了病毒的电脑会出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象。      一、利用的漏洞不同 冲击波(Worm.Blaster)病毒利用的是系统的RPC DCOM漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务,该服务是操作系统的使用的本地安全认证子系统服务。 二、产生的文件不同 冲击波(Worm.Blaster)病毒运行时会在内存中产生名为msblast.exe的进程,在系统目录中产生名为msblast.exe的病毒文件,震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程,在系统目录中产生名为avserve.exe的病毒文件。 三、 利用的端口不同 冲击波(Worm.Blaster)病毒会监听端口69,模拟出一个TFTP服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门,听TCP的5554端口,然后做为FTP服务器等待远程控制命令,并疯狂地试探连接445端口。 四、 攻击目标不同 冲击波(Worm.Blaster)病毒攻击所有存在有RPC漏洞的电脑和微软升级网站,而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑,但目前还未发现有攻击其它网站的现象。   如果用户的电脑中出现下列现象之一,则表明已经中毒,就应该立刻采取措施清除该病毒。   一、出现系统错误对话框   被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。 二、系统日志中出现相应记录   如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。方法是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。 三、系统资源被大量占用   病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。   四、内存中出现名为 avserve 的进程   病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。   五、系统目录中出现名为 avserve.exe 的病毒文件   病毒如果攻击成功,会在系统安装目录(默认为 C:\\WINNT )下产生一个名为avserve.exe 的病毒文件。   六、注册表中出现病毒键值   病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\\avserve.exe " 。    如果你的电脑系统为windows 95/98/ME/NT/2000/2003/XP请特别注意如下感染症状之一 一、电脑无法正常复制粘贴;

二、电脑会自动重新启动,并不断报LSASS服务终止导致系统重启的错误;

三、系统资源被大量占用,不能收发邮件、不能正常复制文件、无法正常浏览网页;

四、系统线程耗尽,染毒后不能打补丁。

解决办法:

一、下载并安装系统补丁(你的电脑什么系统 什么语言就下载什么并且安装它)。用户必须迅速下载微软补丁程序http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx 相关下载(中文版)其他语言版本请到上面的微软网站下载: 1、下载工具网际快车FlashGet(JetCar) 国际版 1.40 2、安装rising专杀工具。 3、下载并安装以下补丁1: NT4 workstation,(需先安装好sp6补丁包) NT4 server,(需先安装好sp6补丁包) Windows 2000 ,(需先安装好sp4补包) Windows XP (需先安装好sp1补丁包) Windows2003 windows95/98/ME未发布补丁 以上均为中文版系统补丁。其他语言系统版本请到微软网站下载。 特别提示:如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。该病毒会攻击远程电脑的445端口,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。   “震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中建立:"avserve.exe"=%windows%\\avserve.exe的病毒键值进行自启动。   该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。  

二、如果不能下载补丁,请用网络防火墙关闭“135 139 445 69 44444 5554”几个端口,以防止病毒的攻击。