查看: 8982|回复: 6

[注意]继去年“冲击波”后,今年又有新的病毒---“震荡波”

[复制链接]
发表于 2004-5-4 10:09:35 | 显示全部楼层 |阅读模式
                    2004年05月01日17:54:50 金山毒霸安全资讯网
; ~/ c2 w0 y9 y+ u8 ^4 S5月1日早晨6点,金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。中招后的系统将开启上百个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。1 f: @4 y3 O. c1 \0 |/ _" V8 {# c' T
同最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。: T! Z3 o6 K- G+ r4 d- R
中招用户以ADSL上网用户居多。原因是病毒会扫描随机IP,并向该IP攻击。而ADSL大多是公网IP,所以更容易受到攻击。
7 N' Z  G, }* b9 R( aLsass漏洞存在于Windows的所有操作平台,凡是没有打补丁的用户都有可能中招。另一方面,现在是五一长假,很多人都远离电脑出外度假。所以五一过后该病毒很可能会大面积再次爆发。
/ r6 ?9 x3 N" R5 u& D“震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。$ t4 A; W+ S7 Q" i9 [
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
5 X0 a% E  s; ?) x3 R1 t* O  该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误2 U$ \+ r4 t+ k3 F

$ O4 T6 u; A. ?7 F$ |9 q( m' N
( ?% P6 C/ B) Y; q( o: f$ |6 B                       恶蠕虫“震荡波”与“冲击波”病毒横向对比7 ]6 t. j6 q! s
冲击波(Worm.Blaster)病毒2003年8月12日全球爆发,该病毒由于是利用系统漏洞进行传播,因此,没有打补丁的电脑用户都会感染该病毒,从而使电脑出现系统重启、无法正常上网等现象。( V. l' X2 _8 F* P/ |6 y
  2004年5月1日,“震荡波(Worm.Sasser)”病毒在网络出现,该病毒也是通过系统漏洞进行传播的,感染了病毒的电脑会出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象。0 y  g3 i; N& r& d/ \
  两大恶性病毒的四大区别: 0 {& o8 x% m9 V3 N6 A( ]
  一、利用的漏洞不同# s) C4 e# X2 q: y; b- \/ g/ J
  冲击波(Worm.Blaster)病毒利用的是系统的RPC漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务,该服务是操作系统的使用的本地安全认证子系统服务。
3 [4 Z+ o  j* J  二、产生的文件不同
% C' b4 s- \& B0 r, E  冲击波(Worm.Blaster)病毒运行时会在内存中产生名为msblast.exe的进程,在系统目录中产生名为msblast.exe的病毒文件,震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程,在系统目录中产生名为avserve.exe的病毒文件。7 ?" S* N) Y. P& t
  三、利用的端口不同4 ~; q- P" e/ V, Y9 a! p! O0 C
  冲击波(Worm.Blaster)病毒会监听端口69,模拟出一个TFTP服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门,听TCP的5554端口,然后做为FTP服务器等待远程控制命令,并疯狂地试探连接445端口。8 J" d2 e3 Z9 i- C0 y6 ~+ q
  四、攻击目标不同4 X  J- H/ d  _; T  t
  冲击波(Worm.Blaster)病毒攻击所有存在有RPC漏洞的电脑和微软升级网站,而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑,但目前还未发现有攻击其它网站的现象。
% `$ E( e, s6 \& o" T此病毒依赖传播的系统为Windows 2000/XP/2003,* Y8 e: o  |! X7 m! r/ g. B5 f3 f* o& ~
98/ME/NT4.0系统目前未发现有感染迹象
( L6 ]% N8 |$ ~- J  p. ~. A. x) G如何知道自己的电脑有没有中“震荡波”病毒4 j- {8 m1 J+ m) n
1、莫名其妙地死机或重新启动计算机;' H7 I* ]/ ]2 Z0 x! |6 Z7 {+ d% ~+ t
2、系统速度极慢,cpu占用100%;$ ?8 m/ ?3 G. P0 l/ x
3、网络变慢;8 i2 N# O+ g$ T
4、最重要的是,任务管理器里有一个叫"avserve.exe"的进程在运行!, h: Z$ u# |) g7 ]; T! g
' a) n9 t! l- {% O/ p# H/ D2 Y
解决办法:) f9 o- i$ [, o5 g
补丁下载地址如下:, t, c' X, y+ v( A
Windows NT 4.0 Server(推荐SP6以上版本)% a8 y" q2 H8 u7 F, Y4 Z
中文版下载地址:http://download.microsoft.com/download/7/4/0/74078006-abaf-49f4-91e8-25909b23afd3/WindowsNT4Server-KB835732-x86-CHS.EXE
  C9 r1 G# x' Q, a& \2 |; e4 A9 {英文版下载地址:http://download.microsoft.com/download/6/d/7/6d7fcda4-1d50-49e7-b4dd-501fa54909c6/WindowsNT4Server-KB835732-x86-ENU.EXE6 Y' Q" O7 n2 y: J
Windows 2000(推荐SP3以上版本)
6 R0 e3 Y+ q4 D0 \6 H( L中文版下载地址:http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
: I+ z( _7 f! C0 I) a4 O) i英文版下载地址:http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
/ Z9 g$ [5 @5 BWindows XP
8 l6 W( X( X" `# e中文版下载地址:http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE7 d2 v7 |3 H' n( i
英文版下载地址:http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE. T+ K  h4 c; r% f
Windows 2003 Server$ U% Q0 S; s0 v3 Z" M# x
中文版下载地址:http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE
, c- e1 i2 E+ P+ m英文版下载地址:http://download.microsoft.com/download/4/d/7/4d74d7ae-e1f7-4c0b-b6e3-ed05f5a3c580/WindowsServer2003-KB835732-x86-ENU.EXE7 J9 h" b4 }: I/ S9 S- n" I

+ H  L! k, ]- E/ n& Z$ q+ C金山公司“震荡波”专杀工具提供免费下载:http://www.duba.net/download/3/113.shtml1 G8 I3 A; t% _$ d* z5 S
金山公司防攻击lsass漏洞专用防火墙:http://www.duba.net/special/virtusspecial/Sasser/download/othertools/DB_AntiSasser.rar+ D9 S. P* \! J2 q5 m
http://www.duba.net/special/virtusspecial/Sasser/download/othertools/DB_AntiSasser.exe
6 A2 W" R( V8 h8 |: U% _瑞星公司专杀软件:http://download.rising.com.cn/zsgj/RavSasser.exe5 b1 ]3 Q) T& |1 B8 K
发表于 2004-5-4 10:32:03 | 显示全部楼层

[注意]继去年“冲击波”后,今年又有新的病毒---“震荡波”

这位老大怎么没有见过
发表于 2004-5-4 19:41:58 | 显示全部楼层

[注意]继去年“冲击波”后,今年又有新的病毒---“震荡波”

下面引用由www5222004/05/04 10:55am 发表的内容:
' N7 u1 u: Y" n: M! j0 M, E到底是金山还是瑞星?哪个先发现的啊!!!0 M" l4 C, y1 D. E; ?! ~
我怎么在网上看到的是瑞星先发现的啊!!!; W7 C0 G. z) U  j- r! M9 x% D
也是最早做的专门杀毒工具啊!!!
管他那个先知道!反正都没多大区别!5 z  |) F% k7 |& X/ x
 楼主| 发表于 2004-5-5 01:21:11 | 显示全部楼层

[注意]继去年“冲击波”后,今年又有新的病毒---“震荡波”

呵呵!我很少在这版块混。。。
# u. a% D7 X4 {* n: S以后多多捧场哦~~~~~!
发表于 2004-5-7 14:12:20 | 显示全部楼层

[注意]继去年“冲击波”后,今年又有新的病毒---“震荡波”

好。- m9 \- D1 l9 ?2 m# I' W. `3 d
怎么这些病毒的名字都叫什么什么“波”的?是怎么命名的?
发表于 2004-5-8 14:04:30 | 显示全部楼层

[注意]继去年“冲击波”后,今年又有新的病毒---“震荡波”

我用诺顿的杀毒软件!除了占用的资源多,其他感觉还不错!
发表于 2004-5-9 10:42:33 | 显示全部楼层

[注意]继去年“冲击波”后,今年又有新的病毒---“震荡波”

我用诺顿有段时间了,运行后会使系统速度明显变慢.可关闭实时监控,需要杀毒时再开起来,这样对速度影响最小.
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

相关侵权、举报、投诉及建议等,请发 E-mail:yesdong@qq.com

Powered by Discuz! X5.0 Licensed © 2001-2026 Discuz! Team.44152102000001

在本版发帖QQ客服返回顶部