|
病毒应急处理中心发布震荡波病毒及变种技术报告 |
| www.cnfol.com 2004年05月09日 12:31 千龙新闻网 |
推荐 我要说说 病毒应急处理中心发布震荡波病毒及变种技术报告 http://www.qianlong.com/ 2004-05-09 10:08:46
新华网天津5月9日电 (记者 张建新) 记者从国家计算机病毒应急处理中心了解到,"震荡波"(Worm_Sasser.A)病毒在5月1日出现后,在接下来的两天相继出现了它的两个变种Worm_Sasser.B和Worm_Sasser.C,变种C只在变种B的基础上作了轻微改动。这两个变种在传播机理上与"震荡波"相同,同样是利用Windows LSASS的一个已知漏洞(MS04-011)。这个缓冲溢出漏洞的后果,是使远程攻击者完全控制被感染系统。
病毒通过在已被感染的机器上开启TCP端口5554建立FTP服务器,并通过TCP445端口扫描随机的IP,向连接成功的机器发动攻击,进一步感染其它机器。受感染的系统可能会出现倒计时对话框,频繁重新启动,系统运行速度明显减慢或死机,上网只能持续很短时间就无法浏览甚至断网等现象。
国家计算机病毒应急处理中心提醒广大用户,下载补丁程序,修补漏洞,升级杀毒软件,启动"实时监控"功能,抵御病毒入侵。
"震荡波"(Worm_Sasser.A)病毒及其变种Worm_Sasser.B的技术报告如下。
病毒名称:"震荡波"病毒(Worm_Sasser.A)
感染系统:WinNT/Win2000/WinXP/Win2003
病毒特征:
1、生成病毒文件
病毒运行后,在%Windows%目录下生成自身的拷贝,名称为avserve.exe,文件长度为15872字节,和在%System%目录下生成其它病毒文件
例如: c:win.log:IP地址列表c:WINNTavserve.exe:蠕虫病毒文件本身c:WINNTsystem3211113_up.exe:可能生成的蠕虫文件本身c:WINNTsystem3216843_up.exe:可能生成的蠕虫文件本身
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCA L_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下创建"avserve"=c:WINNTavserve.exe
3、通过系统漏洞主动进行传播
病毒主动进行扫描,当发现网络中存在微软SSL安全漏洞时,进行攻击,然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。
4、危害性
受感染的系统可能死机或者造成重新启动,同时由于病毒扫描A类或B类子网地址,目标端口是TCP445会对网络性能有一定影响,尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与"冲击波"病毒相类似。
清除该病毒的相关建议:
1、安全模式启动
重新启动系统同时按下按F8键,进入系统安全模式
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,并删除面板右侧的"avserve"="c:winntavserve.exe"
3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"avserve.exe"和"*_up.exe",并将找到的文件删除。
4、安装系统补丁程序
到以下微软网站下载安装补丁程序:www.microsoft.com/technet/security/bulletin/MS04-011.mspx 或者在IE浏览器的工具->Windows Update升级系统。
5、重新配置防火墙
重新配置边界防火墙或个人防火墙 |
|
【推荐】【打印】【大 中 小】【关闭窗口】 |
| |
|
|
|
