论坛: 病毒专区 标题: “振荡波”病毒现身互联网再次面临重大威胁 复制本贴地址    
作者: abctm [abctm]    版主   登录
http://www.sina.com.cn 2004年05月01日 18:31 新浪科技

  新浪科技讯 就在瑞星公司于4月29日晚刚发布一级安全警报之后,5月1日上午,瑞星全球反病毒监测网率先截获利用这个重大漏洞的高危病毒――“振荡波”病毒(I-Worm/Sasser ),该病毒将使互联网和用户电脑系统再次面临重大危险,其破坏程度有可能超过“冲击波”。

  在瑞星发布的一级安全警报中称,目前有90%以上的Windows2000/XP/2003用户没有
  多媒体互动学英语  张国荣风采依旧一周年 
金犊奖大陆初审揭晓  AC-尼尔森互联网调查 


给一个系统漏洞打上补丁程序,而“振荡波”病毒正是通过这个被微软定义为最高级别的漏洞进行传播的,因此瑞星反病毒工程师预测将有众多电脑被该病毒攻击,极有可能造成大规模泛滥。

  根据分析,“振荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。

  “振荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。

  简要技术分析

  瑞星反病毒专家王耀华介绍,该病毒会通过FTP的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。

  “振荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。

  该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。

  瑞星行动

  瑞星公司已于5月1日晚进行了紧急升级,瑞星杀毒软件16.24.42以上版本可以有效查杀该病毒。

  此外,瑞星公司还向广大非瑞星用户提供了该病毒的专杀工具,用户可以登陆:it.rising.com.cn/service/technology/tool.htm网址免费下载。

  如何防范“振荡波”

  首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx。

  瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。

  非瑞星用户迅速登陆瑞星公司网站下载免费的专杀工具,下载地址为:it.rising.com.cn/service/technology/tool.htm。

  如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。



地主 发表时间: 04-05-02 14:10

回复: z7 [skyzz]   论坛用户   登录
恶性蠕虫震荡波(Worm.Sasser)技术分析报告
2004年05月01日17:46:07 金山毒霸安全资讯网 
  病毒信息:

  病毒名称: Worm.Sasser
  中文名称: 震荡波
  病毒别名: W32/Sasser.worm [Mcafee]
  病毒长度: 15,872 Bytes
  病毒类型: 漏洞蠕虫
  受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003

  破坏方式:
  ・ 利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,
    堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
  ・ 和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器
    下载特定文件并运行,来达到感染的目的。
  ・ 文件名为:avserve.exe


  技术特点:(点击查看详情)


A、在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe

B、拷贝其本身至系统目录:
%System%\<5位随机数字>_up.exe

C、在C盘根目录创建以下文件:C:\win.log(该文件用以记录本地主机的IP地址)

D、该病毒会监听以1068起始的TCP端口,同时扫描随机的IP地址;

E、它还会开启TCP端口5554来建立一个FTP服务器,用于传播病毒本身;

F、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启。
以下是LSASS.EXE崩溃时可能回弹出的窗口:






  其他细节:
  ・ 该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-
    0907)],关于该漏洞的更多信息请访问:
   http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

   金山毒霸关于MS04-011的相关报道:http://www.duba.net/c/2004/04/14/110870.shtml#001   

  解决方案:

  ・ 请升级毒霸到5月1日的病毒库可完全处理该病毒;

  ・ 请到以下网址即时升级您的操作系统,免受攻击
    http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ;  

  ・ 请打开个人防火墙屏蔽端口:445、5554和1068,防止名为avserve.exe的程序访问网络

  ・手工解决方案:

    首先,若系统为WinMe/WinXP,则请先关闭系统还原功能;
    (毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能)

  对于系统是Windows9x/WinMe:

  步骤一,删除病毒主程序
  请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为
  C:\windows),分别输入以下命令,以便删除病毒程序:
  C:\windows\system32\>del *_up.exe
  C:\windows\system32\>cd..
  C:\windows\>del avserve.exe
  完毕后,取出系统软盘,重新引导到Windows系统。
  如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。

  步骤二,清除病毒在注册表里添加的项
  打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
  在左边的面板中, 双击(按箭头顺序查找,找到后双击):
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  在右边的面板中, 找到并删除如下项目:
   "avserve.exe" = %SystemRoot%\avserve.exe
  关闭注册表编辑器.



  对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:

  步骤一,使用进程序管里器结束病毒进程
  右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器” 窗口。在任
  务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程
  按钮”,点击“是”,结束病毒进程 ,然后关闭“Windows任务管理器”;

  步骤二,查找并删除病毒程序
  通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找到文件
   “avser ve.exe”,将它删除;然后进入系统目录(Winnt\system32或windows\system32),找
  到文件"*_up.exe", 将它们删除;

  步骤三,清除病毒在注册表里添加的项
  打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
  在左边的面板中, 双击(按箭头顺序查找,找到后双击):
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  在右边的面板中, 找到并删除如下项目:
  "avserve.exe" = %SystemRoot%\avserve.exe
  关闭注册表编辑器.





B1层 发表时间: 04-05-02 16:59

回复: xhw_73 [xhw_73]   论坛用户   登录
微软的代码泄露发生这种事情没有什么奇怪的!!!!

B2层 发表时间: 04-05-02 17:08

回复: QQQQQQQQ [syj]   论坛用户   登录
请问这种病毒对98用户有害吗?

B3层 发表时间: 04-05-02 17:26

回复: z7 [skyzz]   论坛用户   登录
受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003



B4层 发表时间: 04-05-02 17:27

回复: abctm [abctm]   版主   登录


B5层 发表时间: 04-05-03 16:41

回复: pianren [pianren]   论坛用户   登录
98用户可以用金山毒霸解决方案,先下载专杀工具,再安装震荡波防火墙
具体页面:http://www.duba.net/special/virtusspecial/Sasser/index.shtml
和www.duba.net首页(已暂时改首页为震荡波专题)

B6层 发表时间: 04-05-03 16:49

回复: hebin [hebin]   论坛用户   登录
  还好这台机子没中~~~~~~~~`





B7层 发表时间: 04-05-03 23:27

回复: abctm [abctm]   版主   登录
http://20cn.com/~abctm/jdb/

B8层 发表时间: 04-05-04 12:08

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号