近期,一个全新的病毒“震荡波”开始在网络上暴发。一旦中了此种病毒,就会开启数百个线程去攻击其他网络用户,并造成机器运行缓慢、网络堵塞,并且还让系统重复倒计时重启,与去年的“冲击波”病毒类似。“震荡波”病毒并不象冲击波一样只针对NT核心的操作系统,此次WIN98等操作系统也纷纷中奖。
病毒信息:
病毒名称: Worm.Sasser
中文名称: 震荡波
病毒别名: W32/Sasser.worm
病毒长度: 15,872 Bytes
病毒类型: 蠕虫
受影响系统:WinNT/Win2000/WinXP/Win2003/Win98/WinMe
破坏方式:
·利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
·和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器
·下载特定文件并运行,来达到感染的目的。
·文件名为:avserve.exe
技术特点:(点击查看详情)
A、在注册表主键:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加如下键值:"avserve.exe" = %SystemRoot%avserve.exe
B、拷贝其本身至系统目录:%System%<5位随机数字>_up.exe
C、在C盘根目录创建以下文件:C:win.log(该文件用以记录本地主机的IP地址)
D、该病毒会监听以9996起始的TCP端口,同时扫描随机的IP地址;
E、它还会开启TCP端口5554来建立一个FTP服务器,用于传播病毒本身;
F、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启。
微软MS04-011补丁下载
Windows NT 4.0 Server:【中文版】【英文版】(推荐SP6以上版本)
Windows 2000:【中文版】【英文版】(推荐SP3以上版本,先安装SP3)
Windows XP: 【中文版】【英文版】
Windows 2003 Server:【中文版】【英文版】
手工清除四部曲。
1 、断网打补丁。如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx 下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
2 、清除内存中的病毒进程要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe ”的进程,找到后直接将它结束。
3 、删除病毒文件病毒感染系统时会在系统安装目录(默认为C :WINNT)下产生一个名为avserve.exe 的病毒文件,并在系统目录下(默认为C :WINNTSystem32 )生成一些名为< 随机字符串>_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS 系统下删除这些文件。
4 、删除注册表键值该病毒会在电脑注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun项中建立名为“avserve.exe ”,内容为:“%WINDOWS%avserve.exe ”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT ”然后调出注册表编辑器,找到该病毒键值,然后直接删除。
