新型"震荡波"(WormSasser)病毒

相关文档

最热搜索

家庭影院长庚纪念医院活在当下勒索血战遵义县总结范 Intensive 鐎涙晸娣囦紖缁犳倞缁崵绮烘稉瀣祰閹兼粎鍌occom閸忓秷鍨傞崗娼伴惃鍕瀮濡楁偝缁辩瑓鏉炵晫鐝痜ile 可行性研究报告范u 可改变责任书智能型聚众赌博工程硕士学位申请校园安全调查谜格情色茶具洪宜幸哑巴修订本 authentication 文化活动中心 SP鎶憡党员发展璐噺绠悊鍒跺害鑷煡琛iles 袁进行内最新在留资格认定证明书交付申请书罗马当今社会男的比女的更须关怀的辩词华润可写全程职前教育网络学堂调查问卷在职申请新文化运动图书馆管理信息系统需求分析报告成本技巧卫新河变频一所婕斿寲杩囩会场 vzdbrimaccn 鱼体各位该再孔明 Bo 金搪项目论文平湖美国标准化工作情况报告 -Va 赴美签证申请资料表旧制设备验收报告范u 缂傚啯鍨圭划鍓佺矙鐎閻犱焦宕榓sp闁轰焦鐟鍓佸牚濞戞挸濞村洭骞栧鍛亶doccom闁稿繐绉烽崹鍌炲礂濞学生管理系统用户目标证券投资报告 LR 预言 ip鎶链槠镄交通需求分析会计报表格式钳工技师个人总结五一劳动节来鄂特约经销卡巴工商行政管理局实习报告原来如此法新社如何撰写创业计划书下载搜索doccom免费全面的文档搜索下载站files 医疗机构选址报告群体草房斯的设置医疗机构申请书回函讲解色彩构成及述职 gridlab 金属与非金属矿山安全管理考评标准库房租赁协议单元 bnu 学院各系迎评促建阶段工作总结下载搜索doccom免费全面的文档搜索下载站files 丁班神话小说 FST 淇勭綏鏂会计职业生涯规划书 Bryan Sikhs 蔡丽双技术力量空气洁净度

新型 quot 震荡 quot WormSasser 病毒

文件类型：DOC/Microsoft Word 文件大小：4481字节

内容摘要：

新型"震荡波"(Worm_Sasser)病毒
利用Windows LSASS的一个已知漏洞(MS04-011)的病毒在5月1日出现,我们将其命名为"震荡波"(Worm_Sasser.A)病毒,并且在接下来的两天相继出现了它的两个变种
Worm_Sasser.C,变种C与变种B差别很小,只在变种B的基础上作了轻微改动.这两个变种在传播机理上与"震荡波"相同,同样是利用Windows LSASS的一个已知漏洞(MS04-011).这个缓冲溢出漏洞的后果,是使远程攻击者完全控制被感染系统.
病毒通过在已被感染的机器上开启TCP端口5554建立FTP服务器,并通过TCP445端口扫描随机的IP,向连接成功的机器发动攻击,进一步感染其它机器.受感染的系统可能会出现倒计时对话框,频繁重新启动,系统运行速度明显减慢或死机,上网只能持续很短时间就无法浏览甚至断网等现象.
国家计算机病毒应急处理中心提醒广大用户,下载补丁程序,修补漏洞,升级杀毒软件,启动"实时监控"功能,抵御病毒入侵.
"震荡波"(Worm_Sasser.A)病毒及其变种Worm_Sasser.B的技术报告如下.
病毒名称:"震荡波"病毒(Worm_Sasser.A)
感染系统:WinNT/Win2000/WinXP/Win2003
病毒长度:15,872字节
病毒特征:
1,生成病毒文件
病毒运行后,在indows%目录下生成自身的拷贝,名称为avserve.exe,文件长度为15872字节,和在ystem目录下生成其它病毒文件
例如:
c:\win.log:IP地址列表
c:\WINNT\avserve.exe:蠕虫病毒文件本身
c:\WINNT\system32\11113_up.exe:可能生成的蠕虫文件本身
c:\WINNT\system32\16843_up.exe:可能生成的蠕虫文件本身
2,修改注册表项

病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCA L_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run下创建
"avserve"=c:\WINNT\avserve.exe
3,通过系统漏洞主动进行传播

病毒主动进行扫描,当发现网络中存在微软SSL安全漏洞时,进行攻击,然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒.
4,危害性
受感染的系统可能死机或者造成重新启动,同时由于病毒扫描A 类或B类子网地址,目标端口是TCP 445会对网络性能有一定影响,尤其局域网可能造成瘫痪.并可以在TCP 9996端口创建远程Shell.该病毒在传播和破坏形式上与"冲击波"病毒相类似.
清除该病毒的相关建议:
1,安全模式启动
重新启动系统同时按下按F8键,进入系统安全模式
2,注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"avserve"="c:\winnt\avserve.exe"
3,删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"avserve.exe"和"*_upexe",并将找到的文件删除.
4,安装系统补丁程序
到以下微软网站下载安装补丁程序:
http://www.microsoft.com/technet/security/bulletin
/MS04-011.mspx
或者在IE浏览器的工具->Windows Update升级系统.
5,重新配置防火墙
重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996 .
病毒名称:"震荡波"变种B(Worm_Sasser.B)
其它英文命名:Worm.Sasser.b (金山)
I-Worm/Sasser.c (江民)
WORM_SASSER.B (Trend)
Worm.Sasser.b (瑞星)
W32/Sasser.worm.b (McAfee)
Worm.Win32.Sasser.b (Kaspersky)
W32/Sasser-B (Sophos)
Win32.Sasser.B (Computer Associates)
W32.Sasser.B.Worm (Symantec)
感染系统:WinNT/Win2000/WinXP/Win2003
病毒长度:15,872字节
病毒特征:
1,生成病毒文件
病毒运行后,在indows%目录下生成自身的拷贝,名称为avserve2.exe,文件长度为15872字节,和在ystem目录下生成其它病毒文件
2,修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
"avserve2.exe" = ystemRoot\avserve2.exe
3,通过系统漏洞主动进行传播
病毒通过在已被感染的机器上开启TCP端口5554建立一个FTP服务器(机器A),用来作为感染其它机器的服务器.并通过TCP445端口扫描随机的IP,当发现存在漏洞的系统连接成功时,被感染的计算机(机器A)向连接成功的机器(机器B)发动攻击,被攻击的计算机(机器B)将会自动连接已被感染计算机(机器A)的5554端口并通过FTP下载蠕虫的拷贝,名称为"*_upexe",其中*为4到5个数字的组合,如"11223_up.exe".
由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启.
4,危害性
受感染的系统可能会出现倒计时对话框,频繁重新启动,系统运行速度明显减慢或死机,上网只能持续很短时间就无法浏览甚至断网等现象.病毒扫描IP地址,目标端口为TCP 445会对网络性能有一定影响,尤其局域网可能造成网络瘫痪.
清除该病毒的相关建议:
1, 安全模式启动
重新启动系统同时按下按F8键,进入系统安全模式

2, 注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,
并删除右侧面板中的"avserve2.exe" = ystemRoot\avserve2.exe
3,删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"avserve2.exe"和"*_up.exe",并将找到的文件删除.
4,安装系统补丁程序
到以下微软网站下载安装补丁程序:
http://www.microsoft.com/technet/security/bulletin
/MS04-011.mspx
或者在IE浏览器的工具->Windows Update升级系统.
Winnt Workstation:
http://download.microsoft.com/download/8/8/3/8839e8d0-c431-463e-b182-920bc0605733/WindowsNT4Workstation-KB835732-x86-CHS.EXE
Winnt Server:
http://download.microsoft.com/download/7/4/0/74078006-abaf-49f4-91e8-25909b23afd3/WindowsNT4Server-KB835732-x86-CHS.EXE
Windows 2000:
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
Windows XP:
http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
Windows 2003:
http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE
5,重新配置防火墙
重新配置边界防火墙或个人防火墙,关闭TCP端口5554和9996.
本周发作:
病毒名称:Worm_Klez.C
病毒类型:电子邮件蠕虫病毒
发作日期:5月13日
危害程度:病毒向外发送带毒邮件,终止反病毒软件的运行,并在13日用垃圾数据覆盖电脑中的有效数据.
专家提醒:
1, 建议将操作系统单独存放于一个分区,数据,文件等存放在其他的分区,并做好系统以及数据的备份,以便在遭受病毒感染后及时恢复,降低损失.
2, 计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒大范围传播,造成更严重的危害.
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网址:Http://www.antivirus-China.org.cn
电话:022-66211488/66211489/66211490 转 8017
传真:022-66211487
电子邮件:sos@antivirus-China.org.cn
security@tj.cnuninet.net

·上一篇：病毒防护
·下一篇：如何分辨有病毒的

点此下载