请输入您要查询的百科知识:

 

词条 “震荡波”E变种
释义

§ 名称

“震荡波”E变种

§ 相关资料

病毒信息:

病毒名称: Worm.Sasser.E

中文名称: 震荡波变种E

威胁级别: 4A

发现日期: 2004.05.09

处理日期: 2004.05.09

病毒别名:

W32.Sasser.E.Worm 【Symantec】

Worm.Sasser.e 【瑞星】

病毒类型: 蠕虫

受影响系统: Win2000/WinXP

破坏方式:

· 利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,

· 堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。

· 和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。

特别说明:

此病毒利用微软漏洞进行攻击,会清除其它木马的键值,从病毒信息来看, SkyNet Team已经有此病毒代码。

传染条件:

该自运行的蠕虫通过使用Windows的一个漏洞来传播【MS04-011 vulnerability (CAN-2003-0907)】,关于该漏洞的更多信息请访问:

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

技术特点:

. 将自身复制到%SystemRoot%\\\\\\\\lsasss.exe (通常为C:\\\\\\\\WinNT\\\\\\\\或C:\\\\\\\\Windows)

. 在注册表主键:

HKEY_LOCAL_MACHINE\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run

下添加如下键值:

"lsasss.exe" = %SystemRoot%\\\\\\\\lsasss.exe

. 在注册表主键:

HKEY_LOCAL_MACHINE\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run

下删除以下键值:

ssgrate.exe

drvsys.exe

Drvddll_exe

此三个键值分别为Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三个病毒创建。

. 拷贝其本身至系统目录:%System%\\\\\\\\<4或5位随机数字>_upload.exe (通常为WinNT\\\\\\\\System32或Windows\\\\\\\\System32)

. 在C盘根目录下建立文件ftplog.txt,记录最近试图攻击的IP及攻击成功的主机的数目

. 它开启TCP端口1023来建立一个FTP服务器,用来当作感染其他机器的服务器。

. 开启128线程扫描随机IP,在确定目标可达后会试图连接目标的的TCP 445端口.

. 如果连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开1022端口。然后,被攻击的计算机将会自动连接被感染计算机的1023端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_upload"的组合,如(78456_upload.exe).

. 病毒启动后会每隔一秒调用系统API——AbortSystemShutdown 来限制系统重启或关机,在两个小时后显示<如图>的信息:

发作现象:

病毒攻击时会引启系统的倒计时重启或出错

解决方案:

· 请升级毒霸到5月9日的病毒库可完全处理该病毒;

·请到以下网址即时升级您的操作系统,免受攻击

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

·请用个人防火墙屏蔽端口:445、5554和9996,防止名为avserve.exe的程序访问网络。

· 手工解决方案

首先,若系统为WinXP,则请先关闭系统还原功能;

步骤一,使用进程序管里器结束病毒进程

右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务

管理器中,单击“进程”标签,在例表栏内找到病毒进程“lsasss.exe”或任何前面是4到5个数字后面紧接着_upload.exe(如 74354_up.exe)的进程,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;

步骤二,查找并删除病毒程序

通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到文件

"lsasss.exe",将它删除;然后进入系统目录(Winnt\\\\\\\\system32或windows\\\\\\\\system32),找到文

件"*_upload.exe", 将它们删除;

步骤三,清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始->运行, 输入REGEDIT, 按Enter;

在左边的面板中, 双击(按箭头顺序查找,找到后双击):

HKEY_CURRENT_USER\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run

在右边的面板中, 找到并删除如下项目:

"lsasss.exe" = %SystemRoot%\\\\\\\\lsasss.exe

关闭注册表编辑器..

随便看

 

百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/19 2:12:31