“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。
“震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。 以下是瑞星的病毒报告
此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞( MS04-011 )进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性。
一、病毒评估
1.病毒中文名:震荡波
2.病毒英文名:Worm.Sasser
3.病毒大小:15,872字节
4.病毒类型:蠕虫病毒
5.病毒危险等级:★★★★★
6.病毒传播途径:网络
7.病毒依赖系统:Windows NT/2000/XP
二、病毒的破坏
1. 中毒的系统运行缓慢,同时系统运行中极有可能出现如定时关机、非法操作等异常。
2. 网络带宽严重被占用,对网络的正常使用造成极大影响
三、病毒报告
这是一个类似冲击波的病毒,利用微软操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。受感染的操作系统有:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
请用户立即给爱机打最新的补丁
微软系统升级页面
病毒的破坏行为:
1.首先拷贝自身到windows目录,名为%WINDOWS%avserve.exe(15,872字节),然后登记到自启动项。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun avserve.exe = %WINDOWS%avserve.exe
2.开辟线程,在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。
3. 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞,该病毒在网络上传播迅速,造成网络瘫痪。
四、病毒解决方案:
请打开个人防火墙屏蔽端口:445、5554和1068,防止名为avserve.exe的程序访问网络
1.立即打系统补丁
安装微软针对此漏洞的操作系统补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
2. 升级毒霸到最新
2.使用专杀工具,这里我们提供多个专杀工具工大家使用
点击下载瑞星“震荡波(Worm.Sasser)”病毒专杀工具
点击下载金山“震荡波”专杀工具金山提供了手工解决方案:
首先,若系统为WinMe/WinXP,则请先关闭系统还原功能;
对于系统是Windows9x/WinMe:
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为 C:windows),分别输入以下命令,以便删除病毒程序:
C:windowssystem32>del *_up.exe
C:windowssystem32>cd..
C:windows>del avserve.exe
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
在右边的面板中, 找到并删除如下项目:
"avserve.exe" = %SystemRoot%avserve.exe
关闭注册表编辑器.
对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找到文件“avserve.exe”,将它删除;然后进入系统目录(Winntsystem32或windowssystem32),找到文件"*_up.exe", 将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
在右边的面板中, 找到并删除如下项目:
"avserve.exe" = %SystemRoot%avserve.exe
关闭注册表编辑器.