[转载]震荡波综合解决方案
信息来源:CVC一、震荡波病毒介绍:
该蠕虫病毒文件名称是:avserve.exe (大小是15872字节),该蠕虫不通过邮件等传统蠕虫利用的途径传播,它的传播不需要人为的干预,
该蠕虫能自动在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行.从TCP的1068端口开始搜寻可能的IP地址并试图传播.在TCP端口5554,
建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本.该脚本能自动引导被感染的机器下载执行蠕虫程序.所有这些操作的进行都是通过TCP端口5554进行的.
二、病毒的破坏行为:
1.首先拷贝自身到windows目录,名为%WINDOWS%\avserve2.exe(15,872字节),然后登记到自启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = %WINDOWS%\avserve2.exe
2.开辟线程,在本地开辟后门。监听TCP 5554端口(支持USER、PASS、PORT、RETR和QUIT命令)被攻击的机器主动连接本地5554端口,把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。
3.病毒开辟1024个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,如果试探成功,则运行一个新的病毒进程对该目标进行攻击,把该目标的ip地址保存到“c:\win2.log”。
4.利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出,可以获取管理员的权限,执行任意指令。
5.溢出代码会主动从原机器下载病毒程序并运行,开始新的攻击。
三、中毒可能出现症状:如果你的机器感染了病毒,那么很有可能系统无法正常使用,可能的现象如下:
1、出现系统错误对话框
被该病毒攻击的电脑用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。 这是一个类似冲击波的病毒(图示)
2、系统资源被大量占用
病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。比如上网后(拨号连接或者宽带连接),速度突然变慢或断线,点击网页链接无响应;桌面或系统图标双击无法打开,点击时提示系统配额不足;开始菜单中的项目会有丢失的情况,并且点击开始菜单项的程序无响应等。
3、内存中出现名为 avserve 的进程
病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。
4、系统目录中出现名为 avserve.exe 的病毒文件
病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒文件。
5、注册表中出现病毒键值:病毒如果攻击成功,会在注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\avserve.exe " 。
注意:目前发现Windows Lsass漏洞存在于WinNT、Win 2000、Win2003的各个版本、WinXP之中。
四、解决方法:大家下载微软提供的安全补丁,微软补丁程序的下载地址是:[url]http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx[/url]适用于简体操作系统
打开个人防火墙屏蔽端口:445、5554和1068,防止名为avserve.exe的程序访问网络 ,升级各杀毒软件病毒库到最新版本.
XP: [url]http://dlc.pconline.com.cn/filedown.jsp?id=45004&dltypeid=1[/url] (简体中文版)
2000: [url]http://dlc.pconline.com.cn/filedown.jsp?id=45005&dltypeid=1[/url] (简体中文版)
2003: [url]http://dlc.pconline.com.cn/filedown.jsp?id=45006&dltypeid=1[/url] (简体中文版)
其他操作系统: [url]http://dlc.pconline.com.cn/filedown.jsp?id=45007&dltypeid=1[/url]
PS:有些盗版盘可能打不上补丁,出现系统语言和更新语言不同的对话框,这时你可参照笨狼兄发的关于“XP中文补丁”不能安装的问题 .精华区-“冲击波”病毒的综合解决- 关于“XP中文补丁”不能安装的问题
瑞星专杀工具:[url]http://it.rising.com.cn/service/technology/RS_sasser.htm[/url]
该程序拥有三个明显的优点:一是数据量非常小,可以在机器重启之前迅速下载;二是适用于所有无法正常下载微软补丁程序的用户;三是该补丁集成在瑞星“震荡波”专杀工具中,因此瑞星的“震荡波”专杀工具既能查杀“震荡波”病毒,又能有效防止利用MS04-011漏洞的后续版本的病毒。
金山专杀工具:[url]http://www.duba.net/download/3/113.shtml[/url]
手工解决方案:
[对于系统是Windows9x/WinMe]:
步骤一,删除病毒主程序,请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为C:\windows),分别输入以下命令,以便删除病毒程序:
C:\windows\system32\>del *_up.exe
C:\windows\system32\>cd..
C:\windows\>del avserve.exe
完毕后,取出系统软盘,重新引导到Windows系统。如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项,打开注册表编辑器: 开始>运行REGEDIT按Enter;在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 在右边的面板中, 找到并删除如下项目: "avserve.exe" = %SystemRoot%\avserve.exe 关闭注册表编辑器.
[对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever]:
步骤一,使用进程序管里器结束病毒进程,右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序,通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找到文件“avserve.exe”,将它删除;然后进入系统目录(Winnt\system32或windows\system32),找到文件"*_up.exe", 将它们删除;
步骤三,清除病毒在注册表里添加的项,打开注册表编辑器: 点击开始>运行REGEDIT按Enter;在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 在右边的面板中, 找到并删除如下项目:"avserve.exe" = %SystemRoot%\avserve.exe 关闭注册表编辑器
页:
[1]