震荡波病毒
病毒介绍病毒中文名:震荡波
病毒英文名:Worm.Sasser
病毒大小:15,872字节
病毒类型:蠕虫病毒
危险等级:★★★★★
传播途径:网络
受影响系统:Windows NT/2000/XP/2003
变种:Worm.Sasser.b/c/d
未受影响的系统:
MicrosoftWindows 98
MicrosoftWindows ME
破坏方式在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
具体技术特征1.感染系统为:Windows 2000、Windows Server 2003、Windows XP
2.利用微软的漏洞:MS04-011;补丁下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
3.病毒运行后,将自身复制为%WinDir%
apatch.exe
4.在注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下创建:"napatch.exe" = %WinDir%
apatch.exe;这样,病毒在Windows启动时就得以运行。
5.在TCP端口5554建立FTP服务,用以将自身传播给其他计算机。
6.随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染。
7.病毒还会利用漏洞攻击LSASS.EXE进程,被攻击计算机的LSASS.EXE进程会瘫痪,Windows系统将会有1分钟倒计时关闭的提示。
8.病毒在C:win2.log中记录其感染的计算机数目和IP地址
染毒症状(1)进程中出现 avserve.exe 和 *****_up.exe,占用大量资源;
其中*****为从0~65535之间的随机数字
(2)出现LSA Shell错误;
(3)导致系统进程lsass.exe错误,并进而导致计算机强迫重启;
(4)有网友反馈计算机的管理员权限帐户口令被修改(未证实)。
应对措施(1)安装微软的安全更新 KB837001,KB828741,KB835732;
推荐先下载到本地计算机上,再断网安装!
(2)将系统时间改为若干年前,可以使强迫关机时间变得很长(权宜之计);
(3)通过安装防火墙软件关闭计算机的445端口——安装补丁后不必要;
(4)终止avserve和*****_up进程,并删除注册表中与avserve和_up相关的健值;
(5)断网删除硬盘上以avserve或_up为关键字分别搜索到的.exe和.pf文件;
注:如果已经终止了病毒的进程,则无须进入安全模式执行该操作
专杀工具下载:
http://bbs.fmip.org/files/antivirus/special/Duba_Sasser.EXE