当心！！“震荡波杀手”贼喊抓贼

一斛酒

http://www.pconline.com.cn/pcedu/20040501zhendangbo/images/antivirus.gif当心！！“震荡波杀手”贼喊抓贼
反病毒试验室应急处理中心在国内截获又一个利用LSASS漏洞进行传播的漏洞蠕虫病毒Worm.Cycle。经过分析，该病毒和“震荡波”(Worm.Sasser)漏洞蠕虫病毒并没有任何关系，反而会有意识的清除震荡波病毒，但该病毒仍会利用LSASS漏洞大肆传播，使被攻击系统倒计时重启，严重堵塞网络，定时对网站发起DoS攻击造成网络服务器瘫痪。因此这是一个利用该漏洞进行传播的最新病毒，金山公司现命名其为“震荡波杀手”(Worm.Cycle)。
据反病毒专家介绍：该病毒同样利用LSASS漏洞攻击网络中没有打补丁的系统，在获得执行自己代码的权限时，会开启TFTP服务，通过UDP端口69来传播病毒。该病毒在运行时会中止已出现过的“震荡波”“冲击波”“网络天空等病毒的进程。更恶毒的是，病毒在5月18日时会对网站“irna.com ”和 “bbcnews.com”发起DoS攻击，并在受感染的系统中打开TCP端口3332留后门。
此病毒的出现，简直与去年8月份“冲击波”后期大肆发作的“冲击波克星”（又名：冲击波杀手 Worm.Welchia）同出一辙，因为“冲击波克星”也是同样利用相同的漏洞，打着清除“冲击波”的旗号更加疯狂地在网络上传播，给互联网用户造成更大的冲击和危害。在此，为了避免“震荡波杀手”病毒再一次轻意得逞，反病毒中心提醒广大网络用户，应继续保持警惕，一定要及时打上MS04-011的补丁，利用正版杀毒软件查漏补缺，并打个人防火墙封堵病毒入口，应快升级自己的反病毒软件到最新，严防该病毒的侵入。
http://www.pconline.com.cn/pcedu/soft/wl/icq/msn/images/picpath/040513msnfaq1.jpg“震荡波杀手”病毒比拼“冲击波杀手”病毒
去年8月“冲击波”病毒（worm.msblast）肆虐不久，就有“冲击波”杀手病毒（worm.killmsblast），打着清除冲击波病毒，修补系统漏洞的旗号疯狂传播。现在“震荡波”病毒自5.1日诞生以来，已经有了5个变种。在震荡波病毒风头正旺时，又有病毒作者冒充清除“震荡波”的名义开始传播。
我们比较一下这两个杀手发现他们都有一个共同点，利用他的前辈成功入侵的漏洞再次入侵系统，然后取而代之。
“冲击波”杀手病毒攻击成功，首先会清除系统中的msblast病毒，然后尝试为没有修补漏洞的系统自动下载安装补丁程序，但其作者使用的手法极端得近乎疯狂，病毒会开启上百个线程、在PING到有效的IP地址之后就会向该IP发起攻击并传播，所以该病毒传播更有效，速度更快，而且一发作便会消耗尽所有的CPU资源从而导致机器运行缓慢直至系统瘫痪。总之“冲击波克星”给用户造成的危害将是“冲击波”的几倍，而成为去年影响最严重的病毒。
“震荡波”病毒杀手，在清除msblast.exe、avserve.exe、avserve2.exe、skynetave.exe的同时，会在系统打开后门，扫描随机IP的TCP 445端口，利用漏洞攻击成功后，则会从留有后门的系统下载病毒程序，从而不断在网内传播。该病毒会在5月18日对irna.com 和 bbcnews.com 两个网站进行拒绝服务攻击（DoS）攻击。
以上可以看出，病毒总是以危害系统，破坏网络为目的，杀病毒的病毒利用其前辈成功入侵的通道，只是为了更快速的入侵，从而达到更严重的破坏性。修补系统漏洞、更新反病毒软件是防范此类病毒攻击最有力的手段。
http://www.pconline.com.cn/pcedu/20040501zhendangbo/images/lan1.jpg“震荡波杀手”病毒完全档案
发现日期：5月11日
利用微软的LSASS漏洞进行传播，该病毒会清除“震荡波”和“冲击波”，但同样会造成网络堵塞和系统异常重启，传播感染速度可能会非常快。另外，病毒在系统时间为5月18日时，对BBC.COM、BBCNEWS.com和IRNA.com(伊斯兰共和新闻社)进行拒绝服务攻击。从病毒体里留下的信息来看，该病毒的作者可能是对伊朗政府不满的人，他在病毒里公布信息说对伊朗的人权和自由不满意，以病毒攻击的方式来进行发泄。
一、病毒评估
1．病毒中文名：震荡波杀手
2．病毒英文名：Worm.Cycle.a
3．病毒别名： W32.Cycle(Symantec)
4．病毒大小：10,240字节
5．病毒类型：蠕虫病毒
6．病毒危险等级：★★★★
7．病毒传播途径：网络,文件感染
8．病毒依赖系统：Windows NT/2000/XP
二、技术细节
病毒运行后将自己复制到%WINDIR%\system目录下，文件名：svchost.exe并在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run及HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru中加入自己的键值：Generic Host Service，病毒也将自己注册成服务以这些方式达到随系统启动而运行的目的。
病毒将建立一些病毒使用的互斥量，使中了该病毒的系统将对一些病毒有免疫力。这些互斥量为：Jobaka3、Jobaka3l、SkynetSasserVersionWithPingFast、JumpallsNlsTillt当病毒发现系统进程存在以下进程名时将杀死该进程：msblast.exe、avserve.exe、avserve2.exe、skynetave.exe接着病毒将启动一些功能线程实现病毒的一些动作。
1.tftp服务器：
病毒将监听69端口，实现一个tftp服务器。用来在利用漏洞攻击成功时把病毒文件传到被攻击系统上以达到传播的目标。
2.利用漏洞对和当前系统存在连接的系统进行攻击
病毒得到所有已和当前系统建立TCP联接的系统地址，并尝试利用漏洞MS-4011对其进行攻击。
3.后门：
病毒在监听TCP的 3332端口，以实现一个后门服务。（该功能没有完成，可能在下一个版本里进行完善。）
4.对局域网进行攻击
病毒得到当前系统的IP地址，并以此为基数进行计算，尝试利用漏洞MS-4011对其得到的ip地址进行攻击。
5.Dos攻击
当系统时间为5月18号以后时，病毒将对www.irna.com或www.bbc.com,www.bbcnews.com发动dos攻击.
6.病毒还将在%WINDIR%目录下生成一个名为cyclone.txt的文件。文件内容为：
　　Hi,My name is Cyclone and I live in Iran,
　　and I want to speak with you about problems that we have in iran:
　　A.In Iran we don't have any kind of freedom, because we have islamic republic in iran:
　　1.we can't speak freely about regime, we can't speak even a little bit against them!!!
　　2.I have to be a moslem otherwise they don't care about me!
　　3.we CAN'T even wear the clothes and styles that we wants!
　　4.women MUST wear a cloth that no one can even see their hair!!!
　　5.they do not allow our national celebrations to be held, they beat us!!
　　6.Many more...
　　B.The human rights is not implemented in Iran and there is no justice,
　　1.Lynch is very common in Iran. If you are against the regime then you may silently killed, or if there is a tribunal, you can't say anything, everyone works against you there.
　　2.1985-1990, the Islamic Republic of IRAN has been killed more than 10,000 Iranian youngs. that has been comfirmed by the documentations! This people killed without any tribunal or any proof.
　　3.there is a punishment that is used so much during this years, in this punishment, the person who must be killed stand in a hole then others attack him with stones, this will continue until he/she dead. there is some pictures and videos that shows this terrible torture!
　　4.Many more...
　　C.Misery and poverty grows in Iran, because the islamic republic leaders steal the money, they stolen the money that provided by selling oil, and then the people must die because they don't have enough money to even buy a bread!!!
　　D.Misery and poverty cause vice to grow, you see many young people in Iran using drugs and I think this is also a trick by the government to not allow us to arise against them!
E.Islamic republic gave Iran a bad name. before islamic republic we can travel
anywhere in the world without any problem but now we have so much problems if we want to travel a foreign country, anyone think that we are terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE ISLAMIC REPUBLIC OF IRAN IS TERRORIST.
　　The people of Iran trying to arise, but failed to do. About one year ago, Iranian people try to say to the world that we don't need Islamic republic but the government and police beat the people who try to tell the truth and they killed some people.
　　You see that they don't even care about their own people, think what happen if they gain access to an ATOMIC BOMB!!! it's very dangerous for the world.
　　With all of this conditions and injustices, european governments still support islamic republic, they say that they just care about their own country!
　　and I want to show them our WRATH!
　　All of the european people are my friends and I never want to harm them, just government and the Politicians!
　　If you protest against iraq war and say why there must be a war against iraq, and if you do this for humanity, please do anything that you can do for helping iranian people.
at least make your country not to support islamic republic anymore, I'm deadly sure that if european countries do not support islamic republic. it will be destroyed after 3-6 months!
　　so please help!I don't want to damage, I just want my country to grow, to improve!!! I have no other way to tell this words to world, sorry!!
三、清除方法
1. 升级病毒库到最新版本
2. 使用在线杀毒和下载版
3. 打电话求救
如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！
4. 手动清除
(1)打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Generic Host Service"="%WINDIR%\system\svchost.exe"
(2)打开任务管理器查看是否存在进程名为: svchost.exe（文件为%WINDIR%\system\svchost.exe）终止它
(3)将%WINDIR%\system目录下的文件: svchost.exe删除
注:%SYSDIR%位Windows系统的安装目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYSTEM,Win2K下默认为:C:\WINNT\SYSTEM32。
四、安全建议：
1. 建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。
2. 关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。
3. 经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。
4. 使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。
6. 了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报， 这样才能真正保障计算机的安全。