震荡波(Shockwave)是一种电脑病毒,为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播。
冲击波(Worm.Blaster)病毒是利用微软公司在2003年7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。
该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。
病毒英文名:Worm.Sasser
病毒大小:15,872字节
病毒类型:蠕虫病毒
病毒危险等级:★★★★★
病毒传播途径:网络
病毒依赖系统:Windows 2000/XP
变种:Worm.Sasser.b/c/d/e/f
未受影响的系统:
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
Microsoft Windows Vista
Microsoft Windows 8
Microsoft Windows 8.1
Microsoft Windows 10
在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
1.感染系统为:Windows 2000、Windows Server 2003、Windows XP、Windows 7
2.利用微软的漏洞:MS04-011;
3.病毒运行后,将自身复制为%WinDir% apatch.exe
4.在注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下创建:"napatch.exe" =%WinDir% apatch.exe;这样,病毒在Windows启动时就得以运行。
5.在TCP端口5554建立FTP服务,用以将自身传播给其他计算机。
6.随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染。
7.病毒还会利用漏洞攻击LSASS.EXE进程,被攻击计算机的LSASS.EXE进程会瘫痪,Windows系统将会有1分钟倒计时关闭的提示。
8.病毒在C:win32.log中记录其感染的计算机数目和IP地址。
1.病毒运行时会建立一个名为:"BILLY"的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:"msblast"的进程,用户可以用任务管理器将该病毒进程终止。
2.病毒运行时会将自身复制为:%systemdir%msblast.exe,用户可以手动删除该病毒文件。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:"C:Windows"或:"c:Winnt",也可以是用户在安装操作系统时指定的其它目录。
3.病毒会修改注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项,在其中加入:"windows auto update"="msblast.exe",进行自启动,用户可以手工清除该键值。
4.病毒体内隐藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
5.当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
6. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。
一、DOS环境下清除该病毒:
1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:windows (或CD c:winnt)
2. 查找目录中的"msblast.exe"病毒文件。
命令操作集:
dir msblast.exe /s/p
3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe
二、在安全模式下清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。
给系统打补丁方案:
当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。
首先,用户必须迅速下载微软补丁程序,作为对于该病毒的防范。
金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。非金山或者瑞星和360用户迅速下载免费的专杀工具。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找C:WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。
如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到微软网站下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL SHIFT ESC三键或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。
病毒感染系统时会在系统安装目录(默认为C:WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:WINNTSystem32)生成一些名为<随机字符串>_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。
该病毒会在电脑注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun项中建立名为“avserve.exe”,内容为:“%WINDOWS%avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT”然后调出注册表编辑器,找到该病毒键值,然后直接删除。
