震荡波病毒
From upnb游本网--笔记本电脑知识库(笔记本wiki)--您身边的电脑词典
Sasser病毒
- 英文:Sasser (computer worm)
- 中文名为“震荡波”病毒,也有人称之为"杀手”病毒。
Sasser病毒利用微软WindowsNT内核平台上的LSASS漏洞,随机的扫描其它网络中计算机的IP端口,然后进行传播。尽管可以利用防火墙阻止该病毒的传播,但安全专家建议,给系统打上MS04-011补丁是最根本的解决措施。
尽管该病毒在Windows2000、MicrosoftWindowsXPWindowsXP上发作,不会感染安装Windows 95/98/Me操作系统的计算机,但可以在这些操作系统上运行,而成为传播源。
在该病毒传播的几天内,相继出现了Sasser.B,Sasser.C,Sasser.D,Sasser.E,Sasser.F等变种病毒。其中的变种E和变种F是编写者被逮捕之后出现的,因此,专家们普遍估计该病毒的源代码已经外泄。
2004年5月7日,一位来自德国下萨克森州罗滕堡的18岁少年Sven Jaschan因涉嫌编写该病毒而被捕。在接下来的讯问中,该少年已经承认此前的病毒是他编写的。2005年7月8日,德国Verden市法院认定他制造震荡波病毒,四次改变数据和三次对计算机实施破坏有罪,判处1年另9个月的缓刑,在缓刑期间必须完成30个小时的感化工作。
目录 |
染毒计算机的主要症状和现象
(1)该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。
(2)病毒运行后,在Windows目录下生成名为avserve.exe,同时在System目录下生成其它病毒文件;
(3)病毒创建注册表项,使得自身能够在系统启动时自动运行;病毒主动进行扫描,对网络中没有安装微软SSL安全漏洞的机器进行攻击,受攻击的系统就会生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。
(4)同时由于病毒扫描A 类或B类子网地址,目标端口是445,本地响应端口5554,会对网络性能有一定影响,尤其局域网可能造成瘫痪。
(5)并在9996端口创建远程Shell。该病毒在传播和破坏形式上与"冲击波"病毒相类似。
(6) 该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
(7)W32.Sasser.Worm以及其变种W32.Sasser.[B-F].Worm是一类利用微软安全公告MS04-011中描述的LSASS漏洞进行攻击的蠕虫病毒,它通过扫描随机选择的IP地址进行传播。
目前的主要应对措施为
(1)安装微软的安全更新 KB837001,KB828741,KB835732;推荐先下载到本地计算机上,再断网安装!
(2)将系统时间改为若干年前,可以使强迫关机时间变得很长(权宜之计);
(3)通过安装防火墙软件关闭计算机的445端口——安装补丁后不必要;
(4)终止avserve和*****_up进程,并删除注册表中与avserve和_up相关的健值;
(5)断网删除硬盘上以avserve或_up为关键字分别搜索到的.exe和.pf文件;
怎样清除震荡波病毒
1、断网打补丁
如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx 下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
2、清除内存中的病毒进程
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。
3、删除病毒文件
病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。
4、删除注册表键值
该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%WINDOWS%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT”然后调出注册表编辑器,找到该病毒键值,然后直接删除。
参见条目
受影响的操作系统
- Microsoft Windows NT Workstation 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6
- Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
