肝胆相照论坛

 

 

肝胆相照论坛 论坛 电脑技术 存档 1 “震荡波”病毒疯狂来袭 ADSL用户注意了!!! ...
查看: 337|回复: 1

“震荡波”病毒疯狂来袭 ADSL用户注意了!!! [复制链接]

Rank: 6Rank: 6

现金
3727 元 
精华
帖子
2468 
注册时间
2003-6-1 
最后登录
2012-7-19 
1
发表于 2004-5-4 08:36
国家计算机病毒应急处理中心通过对互联网的监测,于2004年5月1日发现一种利用微软近期公布漏洞的新蠕虫病毒,我们将其命名为“震荡波”蠕虫病毒,并已接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。
  该病毒主要利用微软SSL安全漏洞进行攻击。微软证书服务中使用的PCT(Private Communication Technology)协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞,该协议是基于Microsoft IIS 5 WEB平台的Microsoft SSL(Secure Sockets Layer)库的实现。

    病毒名称: "震荡波"病毒 Worm_Sasser
    其它英文命名:暂无
    感染系统:WinNT/Win2000/WinXP/Win2003
    病毒长度:15872字节

    病毒特征:


生成病毒文件

    病毒运行后,在%Windows%目录下生成自身的拷贝,名称为avserve.exe,文件长度为15872字节,和在%System%目录下生成其它病毒文件
例如:
c:\win.log : IP地址列表
c:\WINNT\avserve.exe : 蠕虫病毒文件本身
c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身
c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身

修改注册表项

  病毒创建注册表项,使得自身能够在系统启动时自动运行,在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run下创建
"avserve"=”c:\WINNT\avserve.exe”

 
通过系统漏洞主动进行传播

  病毒主动进行扫描,当发现网络中存在微软SSL安全漏洞时,进行攻击,然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。

 
危害性

 受感染的系统可能死机或者造成重新启动,同时由于病毒扫描A 类或B类子网地址,目标端口是TCP 445会对网络性能有一定影响,尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。

 
  清除该病毒的相关建议:

安全模式启动
  重新启动系统同时按下按F8键,进入系统安全模式

注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"avserve"="c:\winnt\avserve.exe"

删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"avserve.exe"和"*_up.exe",并将找到的文件删除。

安装系统补丁程序
到以下微软网站下载安装补丁程序:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3
或者在IE浏览器的工具->Windows Update升级系统。

重新配置防火墙
重新配置边界防火墙或个人防火墙关闭TCP端口5554;

Rank: 6Rank: 6

现金
3727 元 
精华
帖子
2468 
注册时间
2003-6-1 
最后登录
2012-7-19 
2
发表于 2004-5-4 08:44
瑞星专用杀毒工具下载 >> “震荡波(Worm.Sasser)”病毒专杀工具

http://it.rising.com.cn/service/technology/RS_sasser.htm

‹ 上一主题|下一主题

肝胆相照论坛

GMT+8, 2024-11-29 20:55 , Processed in 0.013329 second(s), 11 queries , Gzip On.

Powered by Discuz! X1.5

© 2001-2010 Comsenz Inc.