20CN网络安全小组论坛 - 病毒专区 - “振荡波”病毒现身互联网再次面临重大威胁

论坛: 病毒专区标题: “振荡波”病毒现身互联网再次面临重大威胁

作者: abctm [abctm]

版主

http://www.sina.com.cn 2004年05月01日 18:31 新浪科技

　　新浪科技讯就在瑞星公司于4月29日晚刚发布一级安全警报之后，5月1日上午，瑞星全球反病毒监测网率先截获利用这个重大漏洞的高危病毒――“振荡波”病毒(I-Worm/Sasser )，该病毒将使互联网和用户电脑系统再次面临重大危险，其破坏程度有可能超过“冲击波”。

　　在瑞星发布的一级安全警报中称，目前有90%以上的Windows2000/XP/2003用户没有
多媒体互动学英语张国荣风采依旧一周年
金犊奖大陆初审揭晓 AC-尼尔森互联网调查

给一个系统漏洞打上补丁程序，而“振荡波”病毒正是通过这个被微软定义为最高级别的漏洞进行传播的，因此瑞星反病毒工程师预测将有众多电脑被该病毒攻击，极有可能造成大规模泛滥。

　　根据分析，“振荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。

　　“振荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。

　　简要技术分析

　　瑞星反病毒专家王耀华介绍，该病毒会通过FTP的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在C:\WINDOWS目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。

　　“振荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。

　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。

　　瑞星行动

　　瑞星公司已于5月1日晚进行了紧急升级，瑞星杀毒软件16.24.42以上版本可以有效查杀该病毒。

　　此外，瑞星公司还向广大非瑞星用户提供了该病毒的专杀工具，用户可以登陆：it.rising.com.cn/service/technology/tool.htm网址免费下载。

　　如何防范“振荡波”

　　首先，用户必须迅速下载微软补丁程序，对于该病毒的防范，www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx。

　　瑞星用户迅速升级杀毒软件到最新版本，然后打开个人防火墙，将安全等级设置为中、高级，封堵病毒对该端口的攻击。

　　非瑞星用户迅速登陆瑞星公司网站下载免费的专杀工具，下载地址为：it.rising.com.cn/service/technology/tool.htm。

　　如果用户已经被该病毒感染，首先应该立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。

地主发表时间: 04-05-02 14:10

回复: z7 [skyzz]

论坛用户

恶性蠕虫震荡波(Worm.Sasser）技术分析报告
2004年05月01日17:46:07　金山毒霸安全资讯网　
　　病毒信息：

　　病毒名称: Worm.Sasser
　　中文名称: 震荡波
　　病毒别名: W32/Sasser.worm [Mcafee]
　　病毒长度: 15,872 Bytes
　　病毒类型: 漏洞蠕虫
　　受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003

　　破坏方式：
　　・利用WINDOWS平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，
　　　堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
　　・和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器
　　　下载特定文件并运行，来达到感染的目的。
　　・文件名为：avserve.exe

　　技术特点：（点击查看详情）

A、在注册表主键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe

B、拷贝其本身至系统目录：
%System%\<5位随机数字>_up.exe

C、在C盘根目录创建以下文件：C:\win.log(该文件用以记录本地主机的IP地址)

D、该病毒会监听以1068起始的TCP端口，同时扫描随机的IP地址；

E、它还会开启TCP端口5554来建立一个FTP服务器，用于传播病毒本身；

F、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致LSASS.EXE的崩溃，当LSASS.EXE崩溃时系统默认会重启。
以下是LSASS.EXE崩溃时可能回弹出的窗口：

　　其他细节：
　　・该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-
　　　 0907)]，关于该漏洞的更多信息请访问：
　　　http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

　　　金山毒霸关于MS04-011的相关报道：http://www.duba.net/c/2004/04/14/110870.shtml#001　　　

　　解决方案:

　　・请升级毒霸到5月1日的病毒库可完全处理该病毒；

　　・请到以下网址即时升级您的操作系统，免受攻击
　　　　http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ；　

　　・请打开个人防火墙屏蔽端口：445、5554和1068，防止名为avserve.exe的程序访问网络

　　・手工解决方案：

　　　首先，若系统为WinMe/WinXP，则请先关闭系统还原功能；
　　　（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能）

　对于系统是Windows9x/WinMe：

　　步骤一，删除病毒主程序
　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为
　　C:\windows），分别输入以下命令，以便删除病毒程序：
　　C:\windows\system32\>del *_up.exe
　　C:\windows\system32\>cd..
　　C:\windows\>del avserve.exe
　　完毕后，取出系统软盘，重新引导到Windows系统。
　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　　步骤二，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　在右边的面板中, 找到并删除如下项目：
　　 "avserve.exe" = %SystemRoot%\avserve.exe
　　关闭注册表编辑器.

　对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever：

　　步骤一，使用进程序管里器结束病毒进程
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器” 窗口。在任
　　务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve.exe”，单击“结束进程
　　按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序
　　通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt或windows)，找到文件
　　“avser ve.exe”，将它删除;然后进入系统目录(Winnt\system32或windows\system32)，找
　　到文件"*_up.exe", 将它们删除；

　　步骤三，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　在右边的面板中, 找到并删除如下项目：
　　"avserve.exe" = %SystemRoot%\avserve.exe
　　关闭注册表编辑器.

B1层发表时间: 04-05-02 16:59