|
防止“振荡波”病毒的方法 |
根据反病毒厂商最新公告,现在发现有一个新蠕虫病毒“震荡波(Worm_Sasser)”病毒,感染的用户较多,请注意查杀. 一、该病毒感染症状: 1、莫名其妙地死机或重新启动计算机; 2、系统速度极慢,cpu占用100%; 3、网络变慢; 4、最重要的是,任务管理器里有一个叫"avserve.exe"、"avserve2.exe"或者"skynetave.exe"的进程在运行!二、发作现象: 1、出现系统错误对话框 被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。 点击看大图>>> 2、系统日志中出现相应记录 如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。方法是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。 3、系统资源被大量占用 病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。 4、内存中出现名为 avserve 的进程 病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。 5、系统目录中出现名为 avserve.exe 的病毒文件 病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒文件。 6、注册表中出现病毒键值 病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\avserve.exe " 。 三、病毒特征:该病毒利用了Windows LSASS的一个已知漏洞(MS04-011),这个一个缓冲溢出漏洞,后果是使远程攻击者完全控制受感染系统。 病毒名称: "震荡波"病毒 Worm_Sasser 其它英文命名:暂无 感染系统:WinNT/Win2000/WinXP/Win2003 病毒长度:15872字节 1、生成病毒文件病毒运行后,在%Windows%目录下生成自身的拷贝,名称为avserve.exe,文件长度为15872字节,和在%System%目录下生成其它病毒文件。例如: c:\win.log : IP地址列表 c:\WINNT\avserve.exe : 蠕虫病毒文件本身 c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身 c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身 2、修改注册表项病毒创建注册表项,使得自身能够在系统启动时自动运行,在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run下创建 "avserve"=”c:\WINNT\avserve.exe” 3、通过系统漏洞主动进行传播病毒主动进行扫描,当发现网络中存在微软SSL安全漏洞时,进行攻击,然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。 4、危害性 受感染的系统可能死机或者造成重新启动,同时由于病毒扫描A 类或B类子网地址,目标端口是TCP 445会对网络性能有一定影响,尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。 四、解决办法: 1、手工删除病毒:a〕下载最新微软补丁 http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx b〕清除内存中的病毒进程要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择"任务管理器"打开任务管理器界面,然后在内存中查找名为"avserve.exe"的进程,找到后直接将它结束。c〕删除病毒文件病毒感染系统时会在系统安装目录(默认为C:WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:WINNTSystem32)生成一些名为<随机字符串>_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。d〕删除注册表键值该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中建立名为"avserve.exe",内容为:"%WINDOWS%avserve.exe"的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在"运行"菜单中键入"REGEDIT"然后调出注册表编辑器,找到该病毒键值,然后直接删除。 2、下载病毒专杀工具RavSasser.exe进行杀毒 3、更新防病毒软件的病毒库 4、安装个人防火墙,关闭TCP端口445、5554和9996 下载防护工具:地址1:http://www.jlonline.com/ad/soft/ravsasser.rar 地址2:http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
|
|
|
|