电脑绣花论坛

标题: 我国发现新型“震荡波”（Worm_Sasser） [打印本页]

作者: 感觉 时间: 2004-5-10 21:32
标题: 我国发现新型“震荡波”（Worm_Sasser）
我国发现新型“震荡波”（Worm_Sasser）国家计算机病毒应急处理中心通过对互联网的监测，于2004年5月1日发现一种利用微软近期公布漏洞的新蠕虫病毒，我们将其命名为“震荡波”蠕虫病毒，并已接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。该病毒利用了Windows LSASS的一个已知漏洞(MS04-011)，这个一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。病毒名称： "震荡波"病毒 Worm_Sasser 其它英文命名：暂无感染系统：WinNT/Win2000/WinXP/Win2003 病毒长度：15872字节　病毒特征：　1、生成病毒文件　　　　病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件例如: c:\win.log : IP地址列表 c:\WINNT\avserve.exe : 蠕虫病毒文件本身 c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身 c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身 2、修改注册表项病毒创建注册表项，使得自身能够在系统启动时自动运行，在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run下创建 "avserve"=”c:\WINNT\avserve.exe” 3、通过系统漏洞主动进行传播病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。 4、危害性受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A 类或B类子网地址，目标端口是TCP 445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。清除该病毒的相关建议： 1、安全模式启动　　重新启动系统同时按下按F8键，进入系统安全模式 2、注册表的恢复　　　　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双　　　击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> 　　　CurrentVersion>Run ，并删除面板右侧的"avserve"="c:\winnt\avserve.exe" 　3、删除病毒释放的文件　　　　　点击"开始--〉查找--〉文件和文件夹"，查找文　　　件"avserve.exe"和"*_up.exe"，并将找到的文件删除。 4、安装系统补丁程序到以下微软网站下载安装补丁程序： http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx 或者在ＩＥ浏览器的工具－>Windows Update升级系统。 5、重新配置防火墙重新配置边界防火墙或个人防火墙关闭TCP端口5554; 目前国家计算机病毒应急处理中心已经将发现的病毒样本通知各防病毒厂家，目前各厂家正在进行产品升级。同时提醒广大计算机用户注意监测其变种出现，一旦发现请立即与国家计算机病毒应急处理中心取得联系。国家计算机病毒应急处理中心计算机病毒防治产品检验中心网址：Http://www.antivirus-China.org.cn 电　　话：022-66211488/66211489/66211490 传　　真：022-66211487 电子邮件：sos@antivirus-China.org.cn

作者: 感觉 时间: 2004-5-10 21:33
我前两天已经中了，怪不得死机好严重，刚解决掉，大家快提防下！

作者: 风之影 时间: 2004-5-10 22:24
呵呵我也中的在玩游戏时突然电脑关机幸亏我安装了还原精灵重驱后就没事了建议大家也安装！

作者: joping 时间: 2004-5-10 22:32
我用win98，不怕冲击波，不怕震荡波。就怕CIH。

作者: helen 时间: 2004-5-10 23:58
晕，我的电脑修了一个星期才拿出来，先说主板bios坏了，后来又说是病毒，也是总重启，难道这种病毒是寄存在主板bios上？

作者: 他他米书记 时间: 2004-5-11 07:40
哈哈五一发现我公司局网上大部份机子都中招了，杀了一次并找了补丁过几天我的主机上又感染了变种B和C。。。。有的机子一会就倒计时重启，有的机子资源占用百分百。。我的主机就这样，导致局网内只有我一台电脑能上网。。。。

作者: 极度寒冰 时间: 2004-5-11 16:16
谢谢提醒

作者: wll 时间: 2004-5-12 17:00
多谢了

作者: yibin 时间: 2004-5-12 20:24
楼上的helen你好，你电脑感染的可能是bios病毒，这种病毒好像不太好处理，你去找个电脑系统高手给你处理一下吧！！！

作者: 感觉 时间: 2004-5-12 23:25

以下是引用他他米书记在2004-5-11 7:40:37的发言： 哈哈五一发现我公司局网上大部份机子都中招了，杀了一次并找了补丁过几天我的主机上又感染了变种B和C。。。。有的机子一会就倒计时重启，有的机子资源占用百分百。。我的主机就这样，导致局网内只有我一台电脑能上网。。。。

今天刚看报纸，一个名为“震荡波杀手”的病毒现身网络，它伪装成清除“震荡波”的“好心人”趁机在网上肆虐！使机器倒时启动，严重堵塞网络，这是一个利用震荡波漏洞进行传播的最新病毒，金山公司名其为“震荡波杀手”

作者: 感觉 时间: 2004-5-12 23:26

以下是引用joping在2004-5-10 22:32:25的发言： 我用win98，不怕冲击波，不怕震荡波。就怕CIH。

老兄，别乐喔！我原来就是98被中招的！

作者: helen 时间: 2004-5-13 02:19

以下是引用yibin在2004-5-12 20:24:32的发言： 楼上的helen你好，你电脑感染的可能是bios病毒，这种病毒好像不太好处理，你去找个电脑系统高手给你处理一下吧！！！

晕，高手说是硬盘坏了，我们坚持是主板坏了他很生气，觉得我们不信任他，害得我们又再新买了个埂盘给他装，弄了半天说：“嘿嘿，还是主板坏了……“ 气得我们够呛……

作者: 大瀚纺织 时间: 2004-5-13 10:52
我灌！！！我灌！！！！我灌灌灌！！！！！！！！！！

作者: SKY 时间: 2004-5-13 12:22
救救我吧，我的电脑总是进入倒计时，谢谢大家QQ262790206

作者: 怪人 时间: 2004-5-14 11:37
我的电脑最近也老死机呀，不知为什么，有进正常退出也会死机，再有时正常退出后，下次开机系统还要进行自检，想问高手是怎么回事呀

作者: huabing 时间: 2004-5-15 12:52
谢谢提醒

作者: mhkk 时间: 2004-5-15 13:19
晕，中BIOS病毒，把电放了就行了啊！！！

作者: 艳 时间: 2004-5-15 15:01
谢谢你的提醒

作者: boyzone 时间: 2004-5-20 16:40
谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢！！！！！！！！

作者: 大瀚纺织 时间: 2004-5-20 19:22
怎么放电？

欢迎光临电脑绣花论坛 (http://jindashop.com/)