1、“震荡波”
利用WINDOWS平台的Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
2、如何判别感染"震荡波"
1、莫名其妙地死机或重新启动计算机。
2、任务管理器里有"avserve.exe"或者“avserve2.exe”、*_up.exe(*为随即数字)的进程在运行。
3、在windows目录下,产生一个名为avserve.exe或者avserve2.exe的病毒文件;在windows\system32下产生几个*_up.exe文件。
4、最系统速度极慢,cpu占用100% 。
3、解决方法:
1)断网。
2)手动删除windows目录下名为avserve.exe或者avserve2.exe的病毒文件;删除windows\system32下*_up.exe文件。
3)删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中有关avserve.exe或者avserve2.exe的键值。
4)上网下载安装微软MS04-011补丁:
微软网址:
http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
WIN2000补丁:
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
WINXP补丁:
http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
WIN2003补丁:
http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE
4、“震荡波”专杀工具
1)金山"震荡波"专杀工具
![]()
http://iduba.jbea.net/download/tools/Duba_Sasser.EXE
2)瑞星"震荡波"专杀工具
![]()
http://download.rising.com.cn/zsgj/RavSasser.exe
3)微软"震荡波"专杀工具(英文)
http://bbs.long-jf.com/0429/user80220_1083549223_Windows-KB841720-ENU.rar
微软网站上的地址:
http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&DisplayLang=en
5、“震荡波”最新d型变种的情况看这儿:
——金山公司已经处理“震荡波”最新d型变种
2004年5月3日晚10点,金山公司病毒应急处理中心捕获“震荡波”病毒最新的d变种,经过分析和处理,发现d型变种与c型病毒相比,有如下改变:
1、D型释放的病毒文件名称为kynetave.exe (c型是avserve2.exe),估计是为了反杀毒软件的搜索
2、D型病毒同样创建1024个线程,不过在产生随机IP地址的时候跳过了一些保留的地址(如127.0.0.1 10.x.x.x、172.[16-31].x.x等等)
3、判断已经感染的方式有改变,增加了对SkynetSasserVerionWithPingFast互斥体的判断
估计D型病毒的破坏力与C型相当。
“金山公司提供的震荡波病毒专杀工具:
http://download.duba.net/download/othertools/Duba_Sasser.EXE
更多震荡波病毒资料可以到瑞星网站查看 http;//www.rising.com.cn |
|
转播
分享
淘帖
分享到新浪微博
