[专题]W32.Sasser.[A-F].Worm/震荡波/系统重启
来源:smth.org;bbs.kingsoft.net;bbs.ustc.edu.cn
W32.Sasser.Worm以及其变种W32.Sasser.[B-F].Worm是一类利用微软安全公告MS04-011
中描述的LSASS漏洞进行攻击的蠕虫病毒,它通过扫描随机选择的IP地址进行传播。
注意:lsass.exe - 本地安全权限服务,控制Windows安全机制,为系统关键进程!
变种E的病毒进程名之一为lsasss.exe,易与lsass.exe混淆,请务必注意!
不要试图关闭lsass进程甚至删除lsass.exe文件,否则将导致不可预期的严重后果!
※技术资料——
国内别名:震荡波
感染长度:15,872 字节 [A/B/C/E];16,384 字节 [D];74,752 字节 [F]
受感染的操作系统:Windows 2000/XP(已知的各变种均不感染Windows 2003 Server)
注意:[A-C,E,F]变种不感染 Windows 95/98/Me 但是可在其上执行并传染其它计算机,
[D]变种只能运行于 Windows XP 但是可以入侵 Windows 2000 但不执行。
病毒定义高于2004年5月11日的大部分反病毒软件已经可以检测并杀除该病毒!
※我如何知道中了该病毒?
请对照一下病毒特征:
①计算机出现倒计时关机或者重新启动,并且可能会遇到LSA Shell错误或者lsass错误的
提示(注意,Svchost出错并重启是welnachi.b/c病毒的特征);
变种E在激活后的2小时内每秒钟调用一次系统关机,并出现含有下列文本的消息:
1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar
the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch
from the www.microsoft.com website
4. This is an message from the SkyNet Team for
malicious activity prevention
②系统进程中有avserve.exe,avserve2.exe,skynetave.exe,lsasss.exe,napatch.exe
中的一个(或者*_up.exe和*_update.exe,见⑥。
③Windows 2000系统的WINNT目录或Windows XP系统的WINDOWS目录存在以上某一个文件;
④在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
位置存在以上某一个文件名的值;
⑤在系统的TCP端口5554[A-D,F]/1023[E]开启一个FTP服务;
⑥该病毒会试图连接随机生成的IP地址的计算机的TCP端口445,如果成功建立连接,
病毒会通过代码使远程计算机在TCP端口9996[A,B,C,F]/9995[D]/1022[E]运行一个
远程应用程序,连接回本地已开启的FTP获取该病毒的一个副本并执行,这个病毒
的副本具有
"*_up.exe" [A-D,F] ,"*_update.exe" [E]
的形式,其中*代表介于1000和99999之间的数字;
⑦在C盘根目录下生成
win.log [A], win2.log [B-D,F], ftplog.txt [E]
其中含有最近扫描的IP和已感染计算机数。
※移除方案——
注意:使用下列方法前请关闭Windows XP的系统还原!
①专杀工具:
Norton —— 最新版本为 1.0.4,可以查杀 E 变种;
http://securityresponse.symantec.com/avcenter/FxSasser.exe
McAfee stinger —— 最新版本为 2.2.6,可以查杀 E 变种;
http://download.nai.com/products/mcafee-avert/stinger.exe
http://mail.ustc.edu.cn/~fyu4/t/stinger_226.exe(校内)
Microsoft —— 最新版本为 V4,可以查杀 F 变种;
http://www.microsoft.com/china/technet/security/tools/sasserclear.asp
瑞星 —— 最新版本为 2.6,可以查杀 F 变种;
http://download.rising.com.cn/zsgj/RavSasser.exe
金山 —— 最新版本为 2004.5.10.5,可以查杀 E 变种。
http://www.duba.net/download/3/113.shtml
②手动移除:
微软建议的手动移除过程如下,更多的资料请参阅本版文摘区!
首先安装相应版本的Windows的 KB835732(修补LSASS的安全漏洞)
关键更新,再进行下述方法中的(1)~(6)。
(1)启用防火墙软件(例如NIS,ZAP)或者打开Windows XP自带的防火墙;
(2)断开网络连接(拔掉网线);
(3)如果正常启动出现问题,请启动至安全模式(开机时按F8键),并跳过下一步;
(4)使用任务管理器(通过Ctrl+Alt+Del组合键调用)终止
avserve.exe;avserve2.exe;skynetave.exe;lsasss.exe;napatch.exe;
*_up.exe;*_update.exe 进程;
(5)在硬盘驱动器上搜索并删除
avserve.exe;avserve2.exe;skynetave.exe;lsasss.exe;napatch.exe;
*_up.exe;*_update.exe 文件;
(6)使用注册表编辑器删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
位置下的
"avserve.exe"="%Windir%\avserve.exe"
"avserve2.exe"="%Windir%\avserve2.exe"
"skynetave.exe"="%Windir%\skynetave.exe"
"lsasss.exe"="%Windir%\lsasss.exe"
"napatch.exe"="%Windir%\napatch.exe"
(7)连接网络并到 http://windowsupdate.microsoft.com 进行更新,
请务必确保安装了全部的关键更新。
微软为教育网提供的代理服务器为202.194.15.124:8080
最后,我们提醒用户,一定养成良好的操作习惯以防止病毒攻击,保证系统安全:
一、使用Windows Update打系统补丁;
1、装完系统,立即打上最新最全的系统补丁。在线升级打补丁。
2、开启windows自动更新或定时运行windows update更新,所有的关键补丁一定都要
打上;
二、良好的系统管理配置
1、设置强健的管理员密码,不要用1234 abcd asdf 之类的口令。(建议google
一下弱口令)、禁用其他一切不必要的帐户;
2、关闭不必要的服务,那些服务是多余的,google可知,
修改位置:控制面板-计算机管理-服务
3、运行里 多用用 regedit,在系统正常的时候,做个注册表备份。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
这两个下面,你放心的删。
4、关闭不必要的文件共享!
三、利用漏洞扫描工具进行系统漏洞检查;
四、安装反病毒软件,定时升级并随时打开防火墙。
1、推荐反病毒软件有Norton 2004,McAfee VSE 7.1, officescan,
AVP personal pro 4.5,金山毒霸,瑞星等
2、推荐网络防火墙: windowsxp自带防火墙,ZonaAlarmPro,
Norton personal firewall等
3、反病毒软件和网络防火墙一般各装一个就可以了,
否则容易引起冲突或拖慢系统运行速度。
4、定时更新或自动更新反病毒软件的病毒库;
五、使用反病毒软件的常见操作有进入安全模式,关闭winxp/me的系统还原。 |