THINKPAD 全系列香港机型即时价格信息微软Surface Pro 9/Pro 8/Go 3/Laptop5/Laptop Go2/Studio 全国联保行货价格信息联想拯救者、小新、扬天及昭阳笔记本电脑全国联保行货报价华为Mate60、Mate60 Pro、Mate X5、Nova12 Pro、荣耀100 Pro、荣耀Magic 6 Pro手机行情苹果Macbook Pro/Macbook Air/iMac全国联保机型最新行情
THINKPAD 全系列正品全国联保行货价格信息合肥DELL戴尔XPS、灵越、成就、G16系列全国联保行货价格信息惠普战系列、星系列、光影精灵、暗影精灵全国联保行货即时价格信息华为笔记本电脑MateBook 14s/MateBook 16s、Matebook X Pro、D14、D16系列/荣耀MagicBook 苹果iPhone 15/15 Pro/15 Pro Max/iPad Pro 2022/iPad Air5/Mini6全国联保机型最新行情
ThinkPad子品牌ThinkBook新青年创业本价格信息联想、THINKPAD、戴尔、华为、苹果和微软Surface产品官方客服地址及联系电话NBCLUB办公地址、电话及交通路线笔记本电脑配件最新价格信息 内存及固态硬盘等 
返回列表 发帖

[专题]W32.Sasser.[A-F].Worm/震荡波/系统重启

来源:smth.org;bbs.kingsoft.net;bbs.ustc.edu.cn
W32.Sasser.Worm以及其变种W32.Sasser.[B-F].Worm是一类利用微软安全公告MS04-011
中描述的LSASS漏洞进行攻击的蠕虫病毒,它通过扫描随机选择的IP地址进行传播。
注意:lsass.exe - 本地安全权限服务,控制Windows安全机制,为系统关键进程!
      变种E的病毒进程名之一为lsasss.exe,易与lsass.exe混淆,请务必注意!
    不要试图关闭lsass进程甚至删除lsass.exe文件,否则将导致不可预期的严重后果!
※技术资料——
国内别名:震荡波
感染长度:15,872 字节 [A/B/C/E];16,384 字节 [D];74,752 字节 [F]
受感染的操作系统:Windows 2000/XP(已知的各变种均不感染Windows 2003 Server)
注意:[A-C,E,F]变种不感染 Windows 95/98/Me 但是可在其上执行并传染其它计算机,
      [D]变种只能运行于 Windows XP 但是可以入侵 Windows 2000 但不执行。
病毒定义高于2004年5月11日的大部分反病毒软件已经可以检测并杀除该病毒!
※我如何知道中了该病毒?
请对照一下病毒特征:
①计算机出现倒计时关机或者重新启动,并且可能会遇到LSA Shell错误或者lsass错误的
  提示(注意,Svchost出错并重启是welnachi.b/c病毒的特征);
  变种E在激活后的2小时内每秒钟调用一次系统关机,并出现含有下列文本的消息:
  1. Your computer is affected by the MS04-011 vulnerability
  2. It can be that dangerous computer viruses similar
     the Blaster worm infect your computer
  3. Please update your computer with the MS04-011 LSASS patch
     from the www.microsoft.com website
  4. This is an message from the SkyNet Team for
     malicious activity prevention
②系统进程中有avserve.exe,avserve2.exe,skynetave.exe,lsasss.exe,napatch.exe
  中的一个(或者*_up.exe和*_update.exe,见⑥。
③Windows 2000系统的WINNT目录或Windows XP系统的WINDOWS目录存在以上某一个文件;
④在注册表中
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  位置存在以上某一个文件名的值;
⑤在系统的TCP端口5554[A-D,F]/1023[E]开启一个FTP服务;
⑥该病毒会试图连接随机生成的IP地址的计算机的TCP端口445,如果成功建立连接,
  病毒会通过代码使远程计算机在TCP端口9996[A,B,C,F]/9995[D]/1022[E]运行一个
  远程应用程序,连接回本地已开启的FTP获取该病毒的一个副本并执行,这个病毒
  的副本具有
  "*_up.exe" [A-D,F] ,"*_update.exe" [E]
  的形式,其中*代表介于1000和99999之间的数字;
⑦在C盘根目录下生成
  win.log [A], win2.log [B-D,F], ftplog.txt [E]
  其中含有最近扫描的IP和已感染计算机数。
※移除方案——
注意:使用下列方法前请关闭Windows XP的系统还原!
①专杀工具:
  Norton  ——  最新版本为 1.0.4,可以查杀 E 变种;
  http://securityresponse.symantec.com/avcenter/FxSasser.exe
  McAfee stinger  ——  最新版本为 2.2.6,可以查杀 E 变种;
  http://download.nai.com/products/mcafee-avert/stinger.exe
  http://mail.ustc.edu.cn/~fyu4/t/stinger_226.exe(校内)
  Microsoft  ——  最新版本为 V4,可以查杀 F 变种;
  http://www.microsoft.com/china/technet/security/tools/sasserclear.asp
  瑞星    ——  最新版本为 2.6,可以查杀 F 变种;
  http://download.rising.com.cn/zsgj/RavSasser.exe
  金山    ——  最新版本为 2004.5.10.5,可以查杀 E 变种。
    http://www.duba.net/download/3/113.shtml
②手动移除:
  微软建议的手动移除过程如下,更多的资料请参阅本版文摘区!
  首先安装相应版本的Windows的 KB835732(修补LSASS的安全漏洞)
  关键更新,再进行下述方法中的(1)~(6)。
  (1)启用防火墙软件(例如NIS,ZAP)或者打开Windows XP自带的防火墙;
  (2)断开网络连接(拔掉网线);
  (3)如果正常启动出现问题,请启动至安全模式(开机时按F8键),并跳过下一步;
  (4)使用任务管理器(通过Ctrl+Alt+Del组合键调用)终止
       avserve.exe;avserve2.exe;skynetave.exe;lsasss.exe;napatch.exe;
       *_up.exe;*_update.exe 进程;
  (5)在硬盘驱动器上搜索并删除
       avserve.exe;avserve2.exe;skynetave.exe;lsasss.exe;napatch.exe;
       *_up.exe;*_update.exe 文件;
  (6)使用注册表编辑器删除
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
       位置下的
       "avserve.exe"="%Windir%\avserve.exe"
       "avserve2.exe"="%Windir%\avserve2.exe"
       "skynetave.exe"="%Windir%\skynetave.exe"
       "lsasss.exe"="%Windir%\lsasss.exe"
       "napatch.exe"="%Windir%\napatch.exe"
  (7)连接网络并到 http://windowsupdate.microsoft.com 进行更新,
       请务必确保安装了全部的关键更新。
       微软为教育网提供的代理服务器为202.194.15.124:8080
最后,我们提醒用户,一定养成良好的操作习惯以防止病毒攻击,保证系统安全:
  一、使用Windows Update打系统补丁;
      1、装完系统,立即打上最新最全的系统补丁。在线升级打补丁。
      2、开启windows自动更新或定时运行windows update更新,所有的关键补丁一定都要
打上;
    二、良好的系统管理配置
      1、设置强健的管理员密码,不要用1234 abcd asdf 之类的口令。(建议google
         一下弱口令)、禁用其他一切不必要的帐户;
      2、关闭不必要的服务,那些服务是多余的,google可知,
         修改位置:控制面板-计算机管理-服务
      3、运行里 多用用 regedit,在系统正常的时候,做个注册表备份。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
     这两个下面,你放心的删。
      4、关闭不必要的文件共享!
   三、利用漏洞扫描工具进行系统漏洞检查;
  四、安装反病毒软件,定时升级并随时打开防火墙。
      1、推荐反病毒软件有Norton 2004,McAfee VSE 7.1, officescan,
                         AVP personal pro 4.5,金山毒霸,瑞星等
      2、推荐网络防火墙: windowsxp自带防火墙,ZonaAlarmPro,
                         Norton personal firewall等
      3、反病毒软件和网络防火墙一般各装一个就可以了,
         否则容易引起冲突或拖慢系统运行速度。
      4、定时更新或自动更新反病毒软件的病毒库;
    五、使用反病毒软件的常见操作有进入安全模式,关闭winxp/me的系统还原。

[专题]W32.Sasser.[A-F].Worm/震荡波/系统重启


很感谢feiyu给广大计算机使用者奉献了这么一个能解决重要问题的好贴.

TOP

返回列表

皖ICP备17017115-1号

皖公网安备 34010402700113号