您要打印的文件是:新病毒“震荡波”爆发,危害直逼“冲击波”

新病毒“震荡波”爆发,危害直逼“冲击波”



作者:佚名    转贴自:本站论坛    点击数:4692


Microsoft 安全公告 MS04-011
Microsoft Windows 安全更新 (835732)

发布日期:2004 年 4 月 13 日
版本: 1.0

摘要
本文的目标读者:Microsoft® Windows® 的用户

漏洞的影响:远程执行代码

最高严重等级: 严重

建议:用户应立即应用此更新。

安全更新替代:本公告替代多个以前的安全更新。有关完整列表,请参见本公告的常见问题解答(FAQ) 部分。

注意事项: 无

测试过的软件和安全更新下载位置:

受影响的软件

• Microsoft Windows NT Workstation 4.0 Service Pack 6a – 下载此更新

• Microsoft Windows NT Server 4.0 Service Pack 6a – 下载此更新

• Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6 – 下载此更新

• Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4 – 下载此更新

• Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1 – 下载此更新

• Microsoft Windows XP 64-Bit Edition Service Pack 1 – 下载此更新

• Microsoft Windows XP 64-Bit Edition Version 2003 – 下载此更新

• Microsoft Windows Server 2003 – 下载此更新

• Microsoft Windows Server 2003 64-Bit Edition – 下载此更新

• Microsoft NetMeeting

•Windows 98、Windows 98 Second Edition、Windows Millennium Edition 是否会受到本安全公告中所解决的任何漏洞的严重影响?
不会。这些漏洞中的任何一个都不会对 Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 造成严重影响。

screen.width-333)this.width=screen.width-333 border=0>

图为病毒“震荡波”发作症状

  5月1日早晨6点,金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。从win98到WinXP,所有的Windows操作系统无一幸免。中招后的系统将开启上百个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。

  同最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。

  5月1日一大早,金山的客服中心便不断的接到用户求助电话。中招用户以ADSL上网用户居多。原因是病毒会扫描随机IP,并向该IP攻击。而ADSL大多是公网IP,所以更容易受到攻击。

  Lsass漏洞存在于Windows的所有操作平台,凡是没有打补丁的用户都有可能中招。另一方面,现在是五一长假,很多人都远离电脑出外度假。所以五一过后该病毒很可能会大面积再次爆发。

  金山反病毒中心向所有用户建议:立即升级毒霸到5月1日的病毒库,该病毒库可完全处理“震荡波”;立即到微软的站点去下载并安装该漏洞的补丁:http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx ;打开个人防火墙屏蔽端口:5554和1068,防止名为avserve.exe的程序访问网络。

专杀工具下载:
金山毒霸专杀工具下载1
金山毒霸专杀工具下载2
金山毒霸专杀工具下载3
金山毒霸专杀工具下载4
金山毒霸专杀工具下载5


瑞星专杀工具下载


【附加信息】

  以下是“震荡波”的技术细节:

  病毒信息

  病毒名称:Worm.Sasser

  病毒长度:15,872Bytes

  中文名称:震荡波

  病毒别名:

  W32/Sasser.worm

  病毒类型:漏洞蠕虫

  受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003

  病毒传染方式:

  A、在注册表主键:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  下添加如下键值:

  avserve.exe = %SystemRoot%\avserve.exe

  B、拷贝其本身至系统目录:

  %System%\<5位随机数字>_up.exe

  C、在C盘根目录创建以下文件:

  C:\win.log(该文件用以记录本地主机的IP地址)

  D、该病毒会监听以1068起始的TCP端口,同时扫描随机的IP地址;

  E、它还会开启TCP端口5554来建立一个FTP服务器,用于传播病毒本身;

  F、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启。

  如果不幸中招,无法上网,高级用户也可通过如下办法进行手工清除:

  A、如果系统为WinMe或WinXP,则请先关闭系统还原功能。

  B、对于系统是Win9x/WinMe

  步骤一,删除病毒主程序

  请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为C:\windows),分别输入以下命令,以便删除病毒程序:

  C:\windows\system32\>del *_up.exe

  C:\windows\system32\>cd..

  C:\windows\>del avserve.exe

  完毕后,取出系统软盘,重新引导到Windows系统。

  如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。

  步骤二,清除病毒在注册表里添加的项

  打开注册表编辑器:点击开始>运行,输入REGEDIT,按Enter;

  在左边的面板中,双击(按箭头顺序查找,找到后双击):

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  在右边的面板中,找到并删除如下项目:avserve.exe = %SystemRoot%\avserve.exe

  关闭注册表编辑器

  步骤一,使用进程序管里器结束病毒进程

  右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

  步骤二,查找并删除病毒程序

  通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找到文件“avserve.exe”,将它删除;然后进入系统目录(Winnt\system32或windows\system32),找到文件*_up.exe,将它们删除;

  步骤三,清除病毒在注册表里添加的项

  打开注册表编辑器:点击开始>运行,输入REGEDIT,按Enter;

  在左边的面板中,双击(按箭头顺序查找,找到后双击):

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  在右边的面板中,找到并删除如下项目:avserve.exe = %SystemRoot%\avserve.exe

  关闭注册表编辑器.