震荡波病毒D变种病毒技术分析

From upnb游本网--笔记本电脑知识库（笔记本wiki)--您身边的电脑词典

病毒类型：蠕虫
　　病毒大小：16384字节
　　传播方式：网络
　　该病毒为振荡波的最新变种。与该病毒前的版本相同，也是通过微软的最新LSASS漏洞进行传播，江民科技及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。
具体技术特征如下：
　　1.感染系统为：Windows 2000、Windows Server 2003、Windows XP
　　2.利用微软的漏洞：MS04-011
　　补丁下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
　　3.病毒在某些Windows2000系统下运行，会报错：
　　The procedure entry point IcmpSendEcho could not be located in the dynamic link library iphlpapi.dll.
　　4.病毒运行后，将自身复制为%WinDir%\Skynetave.exe
　　5.在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建："skynetave" = %WinDir%\skynetave.exe
　　这样，病毒在Windows启动时就得以运行。
　　6.随机在网络上搜索机器，并试图通过TCP的445端口来进行感染计算机。
　　7.病毒搜索的计算机后，将通过TCP端口9995发送一个建立FTP文件服务器的程序到被感染计算机，然后通过TCP端口5554打开一个FTP服务将蠕虫病毒下载到被感染的计算机上肆机运行。
江民KV系列用户处理对策:
　　(1)安装系统补丁程序:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
　　(2)利用江民黑客防火墙关闭TCP端口455，9995，5554;
　　(3)升级江民杀毒软件KV2004到最新版到2004年5月4日的病毒库,来全盘搜索整个系统.
　　(4)删除病毒增加的注册表键值.
　　(5)开启KV2004的各项监视开关来预防病毒的入侵.