震蕩波(Shockwave)是一種電腦病毒��,為I-Worm/Sasser.a的第三方改造版本。
介紹:該病毒為I-Worm/Sasser.a的第三方改造版本��。與該病毒以前的版本相同����,也為通過微軟的最新LSASS漏洞進行傳播�,我們及時提醒廣大用戶及時下載微軟的補丁程序來預防該病毒的侵害�。如果在純DOS環(huán)境下執(zhí)行病毒文件,會顯示出譴責美國大兵的英文語句���。
具體技術特征如下:
1.感染系統(tǒng)為:Windows 2000�、Windows Server 2003、Windows XP���、Windows 7
2.利用微軟的漏洞:MS04-011; 3.病毒運行后���,將自身復制為%WinDir%napatch.exe
4.在注冊表啟動項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建:"napatch.exe" = %WinDir%napatch.exe;這樣,病毒在Windows啟動時就得以運行����。
5.在TCP端口5554建立FTP服務,用以將自身傳播給其他計算機����。
6.隨機在網絡上搜索機器,向遠程計算機的445端口發(fā)送包含后門程序的非法數(shù)據(jù)��,遠程計算機如果存在MS04-011漏洞�����,將會自動運行后門程序�,打開后門端口9996。病毒利用后門端口9996,使得遠程計算機連接病毒打開的FTP端口5554����,下載病毒體并運行,從而遭到感染�。
7.病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓����,Windows系統(tǒng)將會有1分鐘倒計時關閉的提示。
8.病毒在C:win32.log中記錄其感染的計算機數(shù)目和IP地址
如何防范“震蕩波”
首先��,用戶必須迅速下載微軟補丁程序��,作為對于該病毒的防范�����。
金山或者瑞星用戶迅速升級殺毒軟件到最新版本�,然后打開個人防火墻,將安全等級設置為中�����、高級�,封堵病毒對該端口的攻擊。非金山或者瑞星和360用戶迅速下載免費的專殺工具�。
如果用戶已經被該病毒感染,首先應該立刻斷網����,手工刪除該病毒文件,然后上網下載補丁程序�����,并升級殺毒軟件或者下載專殺工具��。手工刪除方法:查找C:WINDOWS目錄下產生名為avserve.exe的病毒文件�����,將其刪除�。
小編推薦閱讀
