查看完整版本: [-- 新病毒“震荡波”爆发,危害直逼“冲击波” --]

【 浮游城 - Castle in the Sky | 开放邀请注册,PS|SS|WII|DC下载研究中心 】 -> 【 电脑全方位 | Computer All Round 】 -> 新病毒“震荡波”爆发,危害直逼“冲击波” [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题

Ecco 2004-05-02 02:41

2004年05月01日17:54:50 金山毒霸安全资讯网 

  5月1日早晨6点,金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。从win98到Windows 2003,所有的Windows操作系统无一幸免。中招后的系统将开启上百个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。

user posted image
同最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。

   5月1日一大早,金山的客服中心便不断的接到用户求助电话。中招用户以ADSL上网用户居多。原因是病毒会扫描随机IP,并向该IP攻击。而ADSL大多是公网IP,所以更容易受到攻击。

   Lsass漏洞存在于Windows的所有操作平台,凡是没有打补丁的用户都有可能中招。另一方面,现在是五一长假,很多人都远离电脑出外度假。所以五一过后该病毒很可能会大面积再次爆发。

  金山反病毒中心向所有用户建议:立即升级毒霸到5月1日的病毒库,该病毒库可完全处理“震荡波”;立即到微软的站点去下载并安装该漏洞的补丁:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ;打开个人防火墙屏蔽端口:445、5554和1068,防止名为avserve.exe的程序访问网络。

疾风の舞 2004-05-02 08:17
晕.又来了一个重量级的家伙..这下又有的玩了。

bakeyhe 2004-05-02 09:41
金山明显胡说么~~网站上都没有5.1的病毒库~~

邪王 2004-05-02 10:19
我是昨晚升到!幸好是有线通。昨天白天一天不在。

pk167 2004-05-02 10:20
Norton也有相关解释

http://securityresponse.symantec.com/avcen...ser.b.worm.html

这个是清除工具的下载页面:
http://www.symantec.com/avcenter/venc/data...moval.tool.html

单行本 2004-05-02 10:25
看吧·还记得我前段时间说我的天网一直拦截到超多的IP在尝试发送数据给我吧··
现在好解释了··那些记录就是445、1068端口··看来我的机子也是中了··因为我也是后期才发现··我只是知道近期网络超级慢和不稳定··

pk167 2004-05-02 10:35
引用 (单行本 @ 2004-05-02 10:27:20)
看吧·还记得我前段时间说我的天网一直拦截到超多的IP在尝试发送数据给我吧··
现在好解释了··那些记录就是445、1068端口··看来我的机子也是中了··因为我也是后期才发现··我只是知道近期网络超级慢和不稳定··

单叔叔,这段时间很多病毒都是通过445端口的。

建议大家快点升级最新的病毒库

jinal 2004-05-02 10:38
关键还是要打补丁
或者安装防火墙

Dark Angel 2004-05-02 12:07
恶性蠕虫震荡波(Worm.Sasser)技术分析报告
2004年05月01日17:46:07 金山毒霸安全资讯网 
  病毒信息:

  病毒名称: Worm.Sasser
  中文名称: 震荡波
  病毒别名: W32/Sasser.worm [Mcafee]
  病毒长度: 15,872 Bytes
  病毒类型: 漏洞蠕虫
  受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003

  破坏方式:
  · 利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
  ·和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
  ·文件名为:avserve.exe


  · 技术特点:


A、在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe

B、拷贝其本身至系统目录:
%System%\<5位随机数字>_up.exe

C、在C盘根目录创建以下文件:
C:\win.log(该文件用以记录本地主机的IP地址)

D、该病毒会监听以1068起始的TCP端口,同时扫描随机的IP地址;

E、它还会开启TCP端口5554来建立一个FTP服务器,用于传播病毒本身;

F、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启。
以下是LSASS.EXE崩溃时可能回弹出的窗口:

user posted image

user posted image

  其他细节:
  · 该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)],关于该漏洞的更多信息请访问:
http://www.microsoft.com/technet/security/...n/MS04-011.mspx



  解决方案:

  · 请升级毒霸到5月1日的病毒库可完全处理该病毒;

  · 请到以下网址即时升级您的操作系统,免受攻击
http://www.microsoft.com/technet/security/...n/MS04-011.mspx ;  

  · 请打开个人防火墙屏蔽端口:445、5554和1068,防止名为avserve.exe的程序访问网络

  ·手工解决方案:

    首先,若系统为WinMe/WinXP,则请先关闭系统还原功能;
   

  对于系统是Windows9x/WinMe:

  步骤一,删除病毒主程序
  请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为  C:\windows),分别输入以下命令,以便删除病毒程序:

  C:\windows\system32\>del *_up.exe
  C:\windows\system32\>cd..
   C:\windows\>del avserve.exe

  完毕后,取出系统软盘,重新引导到Windows系统。
  如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。

  步骤二,清除病毒在注册表里添加的项
  打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
  在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  在右边的面板中, 找到并删除如下项目:
   "avserve.exe" = %SystemRoot%\avserve.exe

  关闭注册表编辑器.



  对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:

  步骤一,使用进程序管里器结束病毒进程
  右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

  步骤二,查找并删除病毒程序
  通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找到文件“avserve.exe”,将它删除;然后进入系统目录(Winnt\system32或windows\system32),找到文件"*_up.exe", 将它们删除;

  步骤三,清除病毒在注册表里添加的项
  打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
  在左边的面板中, 双击(按箭头顺序查找,找到后双击):
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  在右边的面板中, 找到并删除如下项目:
  "avserve.exe" = %SystemRoot%\avserve.exe

  关闭注册表编辑器.

五毒散 2004-05-02 12:17
我现在一直用防火墙的,没办法,每天至少拦截5000次以上的连接,全是连接我的低端端口

雪月 2004-05-02 14:05
我已经中了~~~~~~~~~~~~~~~~~ papa.gif 555.gif

whilom 2004-05-02 14:51
还好昨天升级了防火墙....今天就开始闪个不停了 em32.gif

Triple-E 2004-05-02 16:13
我们这里的局域网就有2台机器中了,不停的攻击我,幸好我的安全软件还算完善,不过把我的网速完全的拖垮了。

Taburiss 2004-05-02 16:55
还有哦~~就是同志们的管理员密码~~~一定要复杂一点啊~~~就算不是那种符合密码学的无规律的组合,至少也要10位以上~~~这样就算被攻击,也能够减少被击破的可能性~~~~

落红 2004-05-02 17:16
刚才一边下载补丁,它一边倒数,50、45、40、35……(我靠!拆炸弹啊?)

之前正玩着RMZ,害得我要在10秒内KO那只BOSS……

对了,网上有什么共享版的防火墙??最好可以更新的,我这里一直处于“零防御”状态……

dc_cd 2004-05-02 18:12
天网,有破解版的,平时可以无视它的存在

莱因哈特 2004-05-02 22:56
我用DUBA SASSE 进入说无病毒~!

ctg 2004-05-02 23:04
我一没防火墙2没杀毒软件,好象还没中……

莱因哈特 2004-05-03 10:22
我用那个专杀的软件,竟然查没毒,我晕,查的过程就出现对话框自动重启了~!

井上 2004-05-03 11:03
引用 (莱因哈特 @ 2004-05-03 10:24:32)
我用那个专杀的软件,竟然查没毒,我晕,查的过程就出现对话框自动重启了~!

装MS补丁,一个一个来。

TNTMAN 2004-05-03 18:09
引用 (落红 @ 2004-05-02 17:18:46)
刚才一边下载补丁,它一边倒数,50、45、40、35……(我靠!拆炸弹啊?)

之前正玩着RMZ,害得我要在10秒内KO那只BOSS……

对了,网上有什么共享版的防火墙??最好可以更新的,我这里一直处于“零防御”状态……

前段时间我要给你一个金山的你还不要。。。 kaixin.gif

wdb3.gif 有版聊的苗头~~~如果不想被删,就不要继续与主题不相干的讨论……TAB观望中

Edison 2004-06-04 15:03
怎么我装的补丁都说什么语言或版本不对啊

真草稚京 2004-06-04 18:58
引用 (Edison @ 2004-06-04 14:58:56)
怎么我装的补丁都说什么语言或版本不对啊

你上官方网站在线更新不就好了......


查看完整版本: [-- 新病毒“震荡波”爆发,危害直逼“冲击波” --] [-- top --]


Powered by PHPWind Code © 2003-08 PHPWind
Gzip enabled

You can contact us