[注意]继去年“冲击波”后，今年又有新的病毒---“震荡波”

黑骑士 · 发表于 2004-5-4 10:09:35

2004年05月01日17:54:50　金山毒霸安全资讯网
5月1日早晨6点，金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。中招后的系统将开启上百个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。
同最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。
中招用户以ADSL上网用户居多。原因是病毒会扫描随机IP，并向该IP攻击。而ADSL大多是公网IP，所以更容易受到攻击。
Lsass漏洞存在于Windows的所有操作平台，凡是没有打补丁的用户都有可能中招。另一方面，现在是五一长假，很多人都远离电脑出外度假。所以五一过后该病毒很可能会大面积再次爆发。
“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。
“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误

恶蠕虫“震荡波”与“冲击波”病毒横向对比
冲击波(Worm.Blaster)病毒2003年8月12日全球爆发，该病毒由于是利用系统漏洞进行传播，因此，没有打补丁的电脑用户都会感染该病毒，从而使电脑出现系统重启、无法正常上网等现象。
　　2004年5月1日，“震荡波(Worm.Sasser)”病毒在网络出现，该病毒也是通过系统漏洞进行传播的，感染了病毒的电脑会出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象。
　　两大恶性病毒的四大区别：　
　　一、利用的漏洞不同
　　冲击波(Worm.Blaster)病毒利用的是系统的RPC漏洞，病毒攻击系统时会使RPC服务崩溃，该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务，该服务是操作系统的使用的本地安全认证子系统服务。
　　二、产生的文件不同
　　冲击波(Worm.Blaster)病毒运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的病毒文件，震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe的病毒文件。
　　三、利用的端口不同
　　冲击波(Worm.Blaster)病毒会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门，听TCP的5554端口，然后做为FTP服务器等待远程控制命令，并疯狂地试探连接445端口。
　　四、攻击目标不同
　　冲击波(Worm.Blaster)病毒攻击所有存在有RPC漏洞的电脑和微软升级网站，而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑，但目前还未发现有攻击其它网站的现象。
此病毒依赖传播的系统为Windows 2000/XP/2003，
98/ME/NT4.0系统目前未发现有感染迹象
如何知道自己的电脑有没有中“震荡波”病毒
1、莫名其妙地死机或重新启动计算机；
2、系统速度极慢，cpu占用100%；
3、网络变慢；
4、最重要的是，任务管理器里有一个叫"avserve.exe"的进程在运行！

解决办法：
补丁下载地址如下：
Windows NT 4.0 Server（推荐SP6以上版本）
中文版下载地址：http://download.microsoft.com/download/7/4/0/74078006-abaf-49f4-91e8-25909b23afd3/WindowsNT4Server-KB835732-x86-CHS.EXE
英文版下载地址：http://download.microsoft.com/download/6/d/7/6d7fcda4-1d50-49e7-b4dd-501fa54909c6/WindowsNT4Server-KB835732-x86-ENU.EXE
Windows 2000（推荐SP3以上版本）
中文版下载地址：http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
英文版下载地址：http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
Windows XP
中文版下载地址：http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
英文版下载地址：http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE
Windows 2003 Server
中文版下载地址：http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE
英文版下载地址：http://download.microsoft.com/download/4/d/7/4d74d7ae-e1f7-4c0b-b6e3-ed05f5a3c580/WindowsServer2003-KB835732-x86-ENU.EXE

金山公司“震荡波”专杀工具提供免费下载：http://www.duba.net/download/3/113.shtml
金山公司防攻击lsass漏洞专用防火墙：http://www.duba.net/special/virtusspecial/Sasser/download/othertools/DB_AntiSasser.rar
http://www.duba.net/special/virtusspecial/Sasser/download/othertools/DB_AntiSasser.exe
瑞星公司专杀软件：http://download.rising.com.cn/zsgj/RavSasser.exe

sczgsjy · 发表于 2004-5-4 10:32:03

这位老大怎么没有见过

YES东 · 发表于 2004-5-4 19:41:58

下面引用由www522在 2004/05/04 10:55am 发表的内容：1 c& }" e4 o0 _% [
到底是金山还是瑞星？哪个先发现的啊！！！
f4 q) u: O! l, {0 w6 }我怎么在网上看到的是瑞星先发现的啊！！！
& N# W* ?3 \5 y% O. y# b9 u也是最早做的专门杀毒工具啊！！！

管他那个先知道!反正都没多大区别!

黑骑士 · 发表于 2004-5-5 01:21:11

呵呵！我很少在这版块混。。。
以后多多捧场哦~~~~~！

ccc · 发表于 2004-5-7 14:12:20

好。
怎么这些病毒的名字都叫什么什么“波”的？是怎么命名的？

jszzr123 · 发表于 2004-5-8 14:04:30

我用诺顿的杀毒软件！除了占用的资源多，其他感觉还不错！

一鸣 · 发表于 2004-5-9 10:42:33

我用诺顿有段时间了,运行后会使系统速度明显变慢.可关闭实时监控,需要杀毒时再开起来,这样对速度影响最小.

[注意]继去年“冲击波”后，今年又有新的病毒---“震荡波”