论坛: 病毒专区 标题: 【新手必阅】:最新恶性流行病毒特征以及解决方案! 复制本贴地址    
作者: kailangq [kailangq]    版主   登录
欢迎来到20CN病毒专区,以下资料由阿Q收集整理,供大家分享!

"震荡波"病毒专题

病毒中文名:震荡波
病毒英文名:Worm.Sasser
病毒大小:15,872字节
病毒类型:蠕虫病毒
病毒危险等级:★★★★★
病毒传播途径:网络
病毒依赖系统:Windows 2000/XP
变种:Worm.Sasser.b/c/d/e/f
未受影响的系统:
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0


“震荡波”病毒破坏方式

在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。


如何快速识别震荡波(Worm.Sasser)病毒

5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹,该病毒是通过微软的最新高危漏洞 ―LSASS 漏洞(微软MS04-011 公告)进行传播的,危害性极大,目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞,这些操作系统的用户只要一上网,就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。

  如果用户的电脑中出现下列现象之一,则表明已经中毒,就应该立刻采取措施清除该病毒。

一、出现系统错误对话框

  被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。

二、系统日志中出现相应记录

  如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。方法是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。

三、系统资源被大量占用

  病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。

  四、内存中出现名为 avserve 的进程

  病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。

  五、系统目录中出现名为 avserve.exe 的病毒文件

  病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒文件。

  六、注册表中出现病毒键值

  病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\avserve.exe " 。


如何完全清除震荡波(Worm.Sasser)病毒

5月1日,“震荡波(Worm.Sasser)”病毒在网络出现,由于该病毒是通过漏洞进行传播的,因此这几日用户如果上网极有可能会感染该病毒,然后出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象,如果用户出现了上述现象,则需要对该病毒进行清除。

一、手工清除四部曲。

1、断网打补丁。

如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。

2、清除内存中的病毒进程

要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。

3、删除病毒文件

病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。

4、删除注册表键值

该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%WINDOWS%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器,找到该病毒键值,然后直接删除。

二、自动清除三部曲

1、使用瑞星杀毒软件进行清除

用户可以将瑞星杀毒软件标准版或下载版产品升级到16.24.42版本,并进行系统盘和内存的杀毒。

2、使用瑞星在线杀毒进行清除

用户还可以使用瑞星免费的在线杀毒产品(http://online.rising.com.cn/)查找系统中是否存在病毒,然后用在线杀毒进行清除。

3、使用瑞星免费专杀工具进行清除

用户还可以到http://it.rising.com.cn/service/technology/RS_sasser.htm网址下载免费的“震荡波病毒专杀工具”然后对电脑进行病毒扫描。


如何防范“震荡波”病毒

为系统打上最新微软丁:http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx








[此贴被 阿Q(kailangq) 在 12月18日17时58分 编辑过]

地主 发表时间: 04-06-25 15:52

回复: kailangq [kailangq]   版主   登录
“冲击波(Worm.Blaster)”蠕虫病毒

警惕程度:★★★★
病毒名称:Worm.Blaster
发作时间:随机
病毒类型:蠕虫病毒
传播途径:网络/RPC漏洞
依赖系统:Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft Windows XP /Microsoft Windows Server 2003
病毒尺寸:6,176 字节


“冲击波(Worm.Blaster)”蠕虫病毒症状

不能正常复制文件,复制粘贴等操作受到严重影响;无法正常浏览网页,不能收发邮件;DNS和IIS服务遭到非法拒绝等。
系统资源被大量占用,在任务管理器里有一个叫“msblast.exe”的进程在运行。
Windows XP、Server 2003计算机会弹出RPC服务终止对话框,系统总是无故反复自动关机、重启。
注:病毒针对安装WINDOWS NT4.0/2000/XP/Server 2003操作系统的机器。

病毒发作现象
冲击波(Worm.Blaster)病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。

该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象


病毒详细说明
1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。
2. 病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。
3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。
4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统时,病毒都会运行。
5. 病毒体内隐藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。
7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。
8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。
9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。


手工清除方案
一、 DOS环境下清除该病毒:
1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)

2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p

3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe

二、 在安全模式下清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。


给系统打补丁方案

当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。以下是补丁的具体下载地址:
・ Windows 2000 :
[URL=http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en ]http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en [/URL]  (连接到第三方网站)

・ Windows XP 32 位版本 :
[URL=http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en ]http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en [/URL]  (连接到第三方网站)

用户也可以直接登陆瑞星网址:
http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm来下载相应的微软补丁程序。


利用工具解决方案
一、 利用瑞星专杀工具清除病毒:
用户直接点击:http://it.rising.com.cn/service/technology/RS_blaster.htm网址,即可下载瑞星专杀工具,进行病毒的清除工作

二、 使用瑞星杀毒软件清除病毒:
瑞星的用户可以直接到瑞星的网站上下载升级补丁包或者使用智能升级功能,将瑞星杀毒软件升级到15.48.01版本以上,然后打开所有的监控,并进行该病毒的清除。

三、 使用瑞星防火墙禁止病毒端口:
第一步:双击瑞星个人防火墙图标,调出瑞星个人防火墙界面:



第二步:选择“设置/设置规则”,调出设置界面:



第三步:填写TCP过滤规则,目的是过滤病毒使用的135和4444端口。选择“规则/添加规则”调出规则添加表,按照下图所示填写规则,其它的选项选择默认,然后点击“添加”按钮就添加了一个规则,就可以对该病毒进行过滤了。



第四步:填写UDP过滤规则,目的是过滤病毒使用的69端口。选择“规则/添加规则”调出规则添加表,按照下图所示填写规则,其它的选项选择默认,然后点击“添加”按钮就添加了一个规则,就可以对该病毒进行过滤了。








[此贴被 阿Q(kailangq) 在 06月25日16时47分 编辑过]

B1层 发表时间: 04-06-25 16:12

回复: kailangq [kailangq]   版主   登录
“QQ叛徒”木马

简介
该病毒使用delphi编写,采用ASpack压缩,是一个通过监视QQ的消息来进行远程控制的木马。

一、病毒评估

1.病毒中文名:QQ叛徒
  2.病毒英文名:Trojan.QQbot.a
  3.病毒别名: 无
  4.病毒大小:659456字节
  5.病毒类型:木马
  6.病毒危险等级:★★★★
  7.病毒传播途径:网络
  8.病毒依赖系统:Windows 95 Windows 98 Windows ME Windows 2000 Windows XP

二、病毒技术细节

该病毒使用delphi编写,采用ASpack压缩,是一个通过监视QQ的消息来进行远程控制的木马。一旦运行,病毒将执行下列操作:

  1.病毒将修改注册表,添加"registry" = "%CURBASE%\%CURFILE"到键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run下,这样病毒就可以随系统自启动。

  2.病毒通过监视QQ的接收消息来响应远程控制端的操作:

  病毒可以执行的操作包括:上传、下载、执行文件,共享硬盘,关闭、重启计算机,抓屏并发送EMail,通过进程名或ID来终止进程的运行,关闭、卸载木马等。

  3.病毒的远程控制端通过生成相应的QQ消息来控制其服务端,发送的消息跟病毒进行的操作对应如下:

  "去看看!wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$"->此发送的消息为下载木马网址;(@@后面是随机字符)
  "我看看!wsdgs@@0/$s^t&&"->此消息为从染毒机器中下载文件;
  "你好啊!wsdgs@@1234567&&"->此消息为共享C盘;
  "去试试!wsdgs@@iXT 3;lGim OKdrk uLL&&"->此消息执行文件;
  "死机了?wsdgs"->关机;
  "掉线了?wsdgs"->重启;
  "在干嘛?wsdgs!!"->抓屏并Mail;
  "还在啊?wsdgs!!"->列举进程并Mail;
  "怎么了?wsdgs@@1234&&"->关闭进程;
  "冷雨打芭蕉"->关闭对方QQ;
  "江湖一剑飘"->关闭木马;
  "天涯任逍遥"->卸载木马;

三、解决方案

进行升级

瑞星公司将于当天进行升级,升级后的软件版本号为16.28.10,该版本的瑞星杀毒软件可以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站http://www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能。


四、安全建议

  1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使您的计算机更加安全。

  2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。

  3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。

  4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。

  5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。

  6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。

  7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报,这样才能真正保障计算机的安全。





B2层 发表时间: 04-06-25 16:46

回复: kyy31 [kyy31]   论坛用户   登录
谢谢你了,我又学到东西了,呵呵

B3层 发表时间: 04-09-27 16:54

回复: shizhe [shizhe]   论坛用户   登录
太感谢你了,我今天刚中了冲击波,我还以为是震荡波呢,谢谢

B4层 发表时间: 04-09-28 17:35

回复: yangtian1 [yangtian1]   论坛用户   登录
我中了震荡波,怎么用瑞星专杀不起作用呢


B5层 发表时间: 04-10-15 08:56

回复: vuqsssft [vuqsssft]   论坛用户   登录
我最惨

我中了耶路撒冷病毒怎么办啊

各位大叔怎么办啊


~~~~~~~~~~~~~~~~~~~~~~~~原来我还是一头猪

B6层 发表时间: 04-12-14 23:30

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号