震蕩波(Shockwave)是一種電腦病毒�����,為I-Worm/Sasser.a的第三方改造版本�����。
介紹:該病毒為I-Worm/Sasser.a的第三方改造版本�����。與該病毒以前的版本相同�����,也為通過(guò)微軟的最新LSASS漏洞進(jìn)行傳播�����,我們及時(shí)提醒廣大用戶(hù)及時(shí)下載微軟的補(bǔ)丁程序來(lái)預(yù)防該病毒的侵害�����。如果在純DOS環(huán)境下執(zhí)行病毒文件�����,會(huì)顯示出譴責(zé)美國(guó)大兵的英文語(yǔ)句�����。
具體技術(shù)特征如下:
1.感染系統(tǒng)為:Windows 2000�����、Windows Server 2003、Windows XP�����、Windows 7
2.利用微軟的漏洞:MS04-011; 3.病毒運(yùn)行后�����,將自身復(fù)制為%WinDir%napatch.exe
4.在注冊(cè)表啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建:"napatch.exe" = %WinDir%napatch.exe;這樣�����,病毒在Windows啟動(dòng)時(shí)就得以運(yùn)行�����。
5.在TCP端口5554建立FTP服務(wù)�����,用以將自身傳播給其他計(jì)算機(jī)�����。
6.隨機(jī)在網(wǎng)絡(luò)上搜索機(jī)器�����,向遠(yuǎn)程計(jì)算機(jī)的445端口發(fā)送包含后門(mén)程序的非法數(shù)據(jù)�����,遠(yuǎn)程計(jì)算機(jī)如果存在MS04-011漏洞�����,將會(huì)自動(dòng)運(yùn)行后門(mén)程序�����,打開(kāi)后門(mén)端口9996�����。病毒利用后門(mén)端口9996�����,使得遠(yuǎn)程計(jì)算機(jī)連接病毒打開(kāi)的FTP端口5554�����,下載病毒體并運(yùn)行,從而遭到感染�����。
7.病毒還會(huì)利用漏洞攻擊LSASS.EXE進(jìn)程�����,被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會(huì)癱瘓�����,Windows系統(tǒng)將會(huì)有1分鐘倒計(jì)時(shí)關(guān)閉的提示�����。
8.病毒在C:win32.log中記錄其感染的計(jì)算機(jī)數(shù)目和IP地址
如何防范“震蕩波”
首先�����,用戶(hù)必須迅速下載微軟補(bǔ)丁程序�����,作為對(duì)于該病毒的防范。
金山或者瑞星用戶(hù)迅速升級(jí)殺毒軟件到最新版本�����,然后打開(kāi)個(gè)人防火墻�����,將安全等級(jí)設(shè)置為中�����、高級(jí)�����,封堵病毒對(duì)該端口的攻擊�����。非金山或者瑞星和360用戶(hù)迅速下載免費(fèi)的專(zhuān)殺工具�����。
如果用戶(hù)已經(jīng)被該病毒感染�����,首先應(yīng)該立刻斷網(wǎng)�����,手工刪除該病毒文件�����,然后上網(wǎng)下載補(bǔ)丁程序�����,并升級(jí)殺毒軟件或者下載專(zhuān)殺工具�����。手工刪除方法:查找C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件�����,將其刪除�����。
小編推薦閱讀
