[注意]继去年“冲击波”后，今年又有新的病毒---“震荡波”

黑骑士

                    2004年05月01日17:54:50　金山毒霸安全资讯网
5月1日早晨6点，金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。中招后的系统将开启上百个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。
同最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。
中招用户以ADSL上网用户居多。原因是病毒会扫描随机IP，并向该IP攻击。而ADSL大多是公网IP，所以更容易受到攻击。
, j  L  g4 }3 ~3 t* o( b* hLsass漏洞存在于Windows的所有操作平台，凡是没有打补丁的用户都有可能中招。另一方面，现在是五一长假，很多人都远离电脑出外度假。所以五一过后该病毒很可能会大面积再次爆发。
( h) G2 y1 c# C- U8 ]$ V' v( f, ?“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。
“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
' t+ D5 W5 o# s/ _7 U　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误
6 R% h- B2 H0 A. o2 a; `5 x

                       恶蠕虫“震荡波”与“冲击波”病毒横向对比
7 Z; x! R& Q* k6 s5 U9 |- Y/ h冲击波(Worm.Blaster)病毒2003年8月12日全球爆发，该病毒由于是利用系统漏洞进行传播，因此，没有打补丁的电脑用户都会感染该病毒，从而使电脑出现系统重启、无法正常上网等现象。
! @0 p; \; {' D* E　　2004年5月1日，“震荡波(Worm.Sasser)”病毒在网络出现，该病毒也是通过系统漏洞进行传播的，感染了病毒的电脑会出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象。
　　两大恶性病毒的四大区别：　
　　一、利用的漏洞不同
& @% R% c" b) I2 M2 r7 t& D　　冲击波(Worm.Blaster)病毒利用的是系统的RPC漏洞，病毒攻击系统时会使RPC服务崩溃，该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务，该服务是操作系统的使用的本地安全认证子系统服务。
　　二、产生的文件不同
% A. o4 i0 v; [6 o) ?9 [, x7 ?　　冲击波(Worm.Blaster)病毒运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的病毒文件，震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe的病毒文件。
0 x9 j' C, e) O; j7 x! b　　三、利用的端口不同
" a' R4 U0 d* d7 Y( I1 P7 q# @　　冲击波(Worm.Blaster)病毒会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门，听TCP的5554端口，然后做为FTP服务器等待远程控制命令，并疯狂地试探连接445端口。
3 ~, O) p7 C2 @7 c7 y　　四、攻击目标不同
　　冲击波(Worm.Blaster)病毒攻击所有存在有RPC漏洞的电脑和微软升级网站，而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑，但目前还未发现有攻击其它网站的现象。
此病毒依赖传播的系统为Windows 2000/XP/2003，
98/ME/NT4.0系统目前未发现有感染迹象
如何知道自己的电脑有没有中“震荡波”病毒
( D0 N; K" C% ^6 n; Y: r* j1、莫名其妙地死机或重新启动计算机；
2、系统速度极慢，cpu占用100%；
$ H- `5 G) E' R) }* o" c3、网络变慢；
3 R, w$ J/ c; A2 M. O7 d+ Q4、最重要的是，任务管理器里有一个叫"avserve.exe"的进程在运行！
/ H) X/ L4 [0 P
解决办法：
3 x: e) |# W* @' d1 y1 W补丁下载地址如下：
Windows NT 4.0 Server（推荐SP6以上版本）
) _4 X# B/ ^! }中文版下载地址：http://download.microsoft.com/download/7/4/0/74078006-abaf-49f4-91e8-25909b23afd3/WindowsNT4Server-KB835732-x86-CHS.EXE
英文版下载地址：http://download.microsoft.com/download/6/d/7/6d7fcda4-1d50-49e7-b4dd-501fa54909c6/WindowsNT4Server-KB835732-x86-ENU.EXE
Windows 2000（推荐SP3以上版本）
! ~5 j4 w- M1 B5 |$ f  D& S  t中文版下载地址：http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
& u" u  @1 L) Q3 Z& S& [+ b5 R英文版下载地址：http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
# {0 @  o6 @4 k: {" }& @Windows XP
中文版下载地址：http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
英文版下载地址：http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE
Windows 2003 Server
中文版下载地址：http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE
英文版下载地址：http://download.microsoft.com/download/4/d/7/4d74d7ae-e1f7-4c0b-b6e3-ed05f5a3c580/WindowsServer2003-KB835732-x86-ENU.EXE

金山公司“震荡波”专杀工具提供免费下载：http://www.duba.net/download/3/113.shtml
* r8 B' x- ^( Q0 S- O! U金山公司防攻击lsass漏洞专用防火墙：http://www.duba.net/special/virtusspecial/Sasser/download/othertools/DB_AntiSasser.rar
3 ?: }$ E5 S; [http://www.duba.net/special/virtusspecial/Sasser/download/othertools/DB_AntiSasser.exe
瑞星公司专杀软件：http://download.rising.com.cn/zsgj/RavSasser.exe

sczgsjy

这位老大怎么没有见过

YES东

下面引用由www522在 2004/05/04 10:55am 发表的内容：
到底是金山还是瑞星？哪个先发现的啊！！！
我怎么在网上看到的是瑞星先发现的啊！！！
) Z$ w4 p$ k0 Y8 f也是最早做的专门杀毒工具啊！！！

管他那个先知道!反正都没多大区别!
/ d% p. m9 r" P4 o! G# H

黑骑士

呵呵！我很少在这版块混。。。
( d# E' r: H3 k以后多多捧场哦~~~~~！

ccc

好。
+ V5 d3 O; k% X7 w" q' n+ H怎么这些病毒的名字都叫什么什么“波”的？是怎么命名的？

jszzr123

我用诺顿的杀毒软件！除了占用的资源多，其他感觉还不错！

一鸣

我用诺顿有段时间了,运行后会使系统速度明显变慢.可关闭实时监控,需要杀毒时再开起来,这样对速度影响最小.