“震荡波”病毒专题

一斛酒

[这个贴子最后由一斛酒在 2004/05/09 12:48pm 第 1 次编辑]

http://www.rising.com.cn/2004tp/img/zd2.gif
病毒中文名：震荡波
病毒英文名：Worm.Sasser
病毒大小：15,872字节
病毒类型：蠕虫病毒
病毒危险等级：★★★★★
病毒传播途径：网络
病毒依赖系统：Windows 2000/XP/2003
变种：Worm.Sasser.b/c/d
未受影响的系统：
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
http://it.rising.com.cn/service/img/download4.gif“震荡波(Worm.Sasser)”病毒专杀工具
工具名称：RavSasser.exe
版 本 号：2.3
软件大小：80.5 KB
应用平台：Windows平台
更新时间：2004-05-04
发布时间：2004-05-01
发布公司：北京瑞星科技股份有限公司
http://it.rising.com.cn/service/img/down.gif点击下载
http://www.rising.com.cn/2004tp/img/xt.gif“震荡波”病毒破坏方式
在本地开辟后门。监听TCP 5554端口，做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
http://www.rising.com.cn/2004tp/img/xt.gif如何快速识别震荡波(Worm.Sasser)病毒
5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹，该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的，危害性极大，目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。
如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒。
一、出现系统错误对话框
被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。
http://www.rising.com.cn/2004tp/virus0501001.jpg
二、系统日志中出现相应记录
如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如下图所示的日志记录，则证明已经中毒。
http://www.rising.com.cn/2004tp/virus0501002.jpg
三、系统资源被大量占用
病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。
四、内存中出现名为 avserve 的进程
病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。
五、系统目录中出现名为 avserve.exe 的病毒文件
病毒如果攻击成功，会在系统安装目录（默认为 C:\WINNT ）下产生一个名为avserve.exe 的病毒文件。
六、注册表中出现病毒键值
病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值：“avserve.exe "="%WINDOWS%\avserve.exe”。
http://www.rising.com.cn/2004tp/img/xt.gif“震荡波”与“冲击波”病毒横向对比
背景介绍：
冲击波（Worm.Blaster）病毒2003年8月12日全球爆发，该病毒由于是利用系统漏洞进行传播，因此，没有打补丁的电脑用户都会感染该病毒，从而使电脑出现系统重启、无法正常上网等现象。
2004年5月1日，“震荡波(Worm.Sasser)”病毒在网络出现，该病毒也是通过系统漏洞进行传播的，感染了病毒的电脑会出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象。
两大恶性病毒的四大区别：
一、利用的漏洞不同
冲击波（Worm.Blaster）病毒利用的是系统的RPC DCOM漏洞，病毒攻击系统时会使RPC服务崩溃，该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务，该服务是操作系统的使用的本地安全认证子系统服务。
二、产生的文件不同
冲击波（Worm.Blaster）病毒运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的病毒文件，震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe的病毒文件。
三、 利用的端口不同
冲击波（Worm.Blaster）病毒会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门，听TCP的5554端口，然后做为FTP服务器等待远程控制命令，并疯狂地试探连接445端口。
四、 攻击目标不同
冲击波（Worm.Blaster）病毒攻击所有存在有RPC漏洞的电脑和微软升级网站，而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑，但目前还未发现有攻击其它网站的现象。
http://www.rising.com.cn/2004tp/img/xt.gif手工清除四部曲
5月1日，“震荡波(Worm.Sasser)”病毒在网络出现，由于该病毒是通过漏洞进行传播的，因此这几日用户如果上网极有可能会感染该病毒，然后出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象，如果用户出现了上述现象，则需要对该病毒进行清除。除了升级杀毒软件进行查杀、下载专杀工具进行查杀之外，用户还可手动清除该病毒。
1、断网打补丁。
如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。
2、清除内存中的病毒进程
要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内存中查找名为“avserve.exe”的进程，找到后直接将它结束。
3、删除病毒文件
病毒感染系统时会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户需要到安全模式下或DOS系统下删除这些文件。
4、删除注册表键值
该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器，找到该病毒键值，然后直接删除。
http://www.rising.com.cn/2004tp/img/xt.gif如何防范“震荡波”病毒
1、使用页首提供的补丁工具
2、为系统打上最新微软补丁
http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
3、瑞星个人防火墙用户如何通过配置防火墙防范震荡波
1 进入规则设置界面
2 选择 “规则——添加”
拦截信息
TCP 接收 5554 1068 9996 9995
TCP或UDP 发送 445
http://www.rising.com.cn/2004tp/img/xt.gif病毒制造者被抓获 “震荡波”后续变种未必会停止
根据外电报道，德国警方称涉嫌编写“震荡波”病毒的嫌犯已经被抓获，是一个年仅１８岁的高中生。相比于微软悬赏多日的“冲击波”和Mydoom病毒两个恶性病毒制造者，“震荡波”作者的快速落网让业界感到非常意外。
目前还没有消息认定被捕者的确是“震荡波”的制造者，但是即使这个18岁的高中生就是病毒作者，也不能保证“震荡波”的后续变种不会继续出现。
病毒编写者们有聚会的网络社区，在上面他们会共享许多危险的病毒代码、利用漏洞的攻击工具等等。所以有的时候，你根本无法确定这个病毒是具体的哪一个人写的，它可能是一群从未见面的人相互协作的产物。
因此，即使病毒编写者被抓获，如果他已经把病毒原代码发布给其他的病毒制造者，那么病毒变种就会很容易被制造出来。另外，短短三天内截获原病毒和三个变种，很有可能说明了这些病毒并非出自一人之手，而有一群病毒编写者。
事实上，几天前曾截获“网络天空”病毒的一个变种，编写者在病毒体内留有文字表示，他们就是“震荡波”的制造者。
在最新版本的“网络天空（Netksy）”病毒的变种里，作者写入了一段文本信息：“Hey, av (antivirus) firms, do you know that we have programmed the sasser virus?!? Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet”。（嗨，反病毒公司们，你们知道我们编写了“震荡波”病毒吗？！耶，那是真事儿。你们为什么叫它“震荡波”呢？比较一下Skynet.V从服务器上下载的代码！看看，我们就是Skynet。）
这是一个自称SAT（Skynet Antivirus Team天空网络反病毒小组）的病毒编写小组，这两个病毒的某些代码确实差不多，但还不能确定“震荡波”跟“网络天空”的作者是同一群人。早在“震荡波”病毒出现之前，“网络天空”病毒的代码就已经公开了，因此任何一个病毒编写者都可以利用这些病毒代码。

度度鸟

下不了呀，给出的连接不能连接到执行程序

空谷

小酒,非常感谢~~~~~

一斛酒

下面引用由度度鸟在 2004/05/09 12:28pm 发表的内容：
下不了呀，给出的连接不能连接到执行程序

嘿嘿，弄错了，已经更正过来了。
其实这个补丁昨天已经收录在置顶的《病毒专杀工具下载》里了，今天只是收集一个专题让大家了解一下。

winzww

郁闷，俺的系统版本太低了，连病毒都懒得得去感染。。。。哈..啊..呀...噢...哎...嗯......

冷玉寒霜

平身也来学电脑知识...

骨头

哈哈`
两个对敲，有意思~！

一斛酒

震荡波病毒档案：
2004年4月13日，微软承认Windows NT/2000/XP操作系统中存在严重的漏洞。4月29日，瑞星互联网攻防实验室发布红色（一级）安全警报，预报将有大规模的计算机病毒疫情出现。
5月1日，一个利用该漏洞的病毒被瑞星率先截获，并命名为“震荡波（Worm.Sasser）”病毒。该病毒的主要发作现象表现为频繁重启电脑，跟去年爆发的“冲击波”病毒很相似。此后两天瑞星连续截获该病毒的三个变种，并在5月2日凌晨全球独家发布“内存补丁”。随着节后各企事业网络回复运作，"震荡波"病毒及其变种出现第二次疫情高峰。
感染“震荡波”后的应对措施
反病毒专家建议：受感染用户应该先下载专杀工具清除病毒，下载地址是：http://it.rising.com.cn/service/technology/RS_sasser.htm（含瑞星全球独家内存补丁）。然后去微软网站下载相应的系统补丁，给系统打上补丁，从根本上解决“震荡波”及其变种的威胁：http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx。无法上网下载补丁和工具的用户，可以去各地软件专卖店免费领取瑞星提供的“震荡波”应急光盘，光盘中有针对“震荡波”病毒及其变种的完整技术解决方案。

hlde

HOHO大家都好了不起哦~

江湖浪人

不错呀，很方便！