以下的文章主要向大家讲述的是安全知识堂之“震荡波”的蠕虫病毒,众所周知2004年一个叫“震荡波”的蠕虫病毒席卷了全世界,导致数千万的电脑瘫痪,数亿的财产在这次浩劫中付诸东流。
2004年的“毒王”宝座最终被“震荡波”病毒夺得。2004年“五一”期间及其后的短短的十几天内,一个叫“震荡波”的蠕虫病毒席卷了全世界,数千万的电脑瘫痪,数亿的财产在这次浩劫中付诸东流。“震荡波”一夜之间成为家喻户晓的病毒,至今许多电脑用户仍心有余悸,其毒性之大,造成后果之严重堪称2004年之最。
“震荡波”病毒自2004年5月1日首次被截获以来,短短几天席卷全球,12天之内接连出现6个变种。“震荡波”由18岁的德国少年斯文·扬森编写,该病毒跟2003年的“冲击波”病毒非常类似,同属于的网络蠕虫,感染Windows 2000、Windows Server 2003、Windows XP系统,它是利用微软的MS04-011漏洞,通过互联网进行传播,但不通过邮件传播。蠕虫能自动在网络上搜索含有漏洞的系统,在含有漏洞的系统的TCP端口5554建立FTP文件服务器,自动创建FTP脚本文件,并运行该脚本,该脚本能自动引导被感染的机器下载执行蠕虫程序,用户一旦感染后,病毒将从TCP的1068端口开始搜寻可能传播的IP地址,系统将开启上百个线程去攻击他人,造成计算机运行异常缓慢、网络不畅通,并让系统不停重新启动。
该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播,我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件,会显示出谴责美国大兵的英文语句。
具体技术特征如下:
1.感染系统为:Windows 2000、Windows Server 2003、Windows XP
2.利用微软的漏洞:MS04-011;补丁下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
3.病毒运行后,将自身复制为%WinDir%\napatch.exe
4.在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:"napatch.exe" = %WinDir%\napatch.exe;这样,病毒在Windows启动时就得以运行。
5.在TCP端口5554建立FTP服务,用以将自身传播给其他计算机。
6.随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染。
7.病毒还会利用漏洞攻击LSASS.EXE进程,被攻击计算机的LSASS.EXE进程会瘫痪,Windows系统将会有1分钟倒计时关闭的提示。
8.病毒在C:\win2.log中记录其感染的计算机数目和IP地址
如何防范“震荡波”
首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx。
金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。
非金山或者瑞星用户迅速下载免费的专杀工具,下载地址为:http://dl.pconline.com.cn/html/1/8/dlid=13058&dltypeid=1&pn=0&.html。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。上述的相关内容就是对安全知识堂之“震荡波”的蠕虫病毒的描述,希望会给你带来一些帮助在此方面。
【编辑推荐】
- 首款利用SSH漏洞的iPhone蠕虫病毒现身
- 如何在局域网内防止蠕虫病毒的传播?
- Conficker蠕虫病毒并未终结
- UTM跨界组合情景视频:蠕虫病毒防御
- 美国宅男高中生连放两只Twitter蠕虫病毒
