Board logo

标题: [专题]W32.Sasser.[A-F].Worm/震荡波/系统重启 [打印本页]

作者: feiyu    时间: 2004-5-13 00:56     标题: [专题]W32.Sasser.[A-F].Worm/震荡波/系统重启

来源:smth.org;bbs.kingsoft.net;bbs.ustc.edu.cn
W32.Sasser.Worm以及其变种W32.Sasser.[B-F].Worm是一类利用微软安全公告MS04-011
中描述的LSASS漏洞进行攻击的蠕虫病毒,它通过扫描随机选择的IP地址进行传播。
注意:lsass.exe - 本地安全权限服务,控制Windows安全机制,为系统关键进程!
      变种E的病毒进程名之一为lsasss.exe,易与lsass.exe混淆,请务必注意!
    不要试图关闭lsass进程甚至删除lsass.exe文件,否则将导致不可预期的严重后果!
※技术资料——
国内别名:震荡波
感染长度:15,872 字节 [A/B/C/E];16,384 字节 [D];74,752 字节 [F]
受感染的操作系统:Windows 2000/XP(已知的各变种均不感染Windows 2003 Server)
注意:[A-C,E,F]变种不感染 Windows 95/98/Me 但是可在其上执行并传染其它计算机,
      [D]变种只能运行于 Windows XP 但是可以入侵 Windows 2000 但不执行。
病毒定义高于2004年5月11日的大部分反病毒软件已经可以检测并杀除该病毒!
※我如何知道中了该病毒?
请对照一下病毒特征:
①计算机出现倒计时关机或者重新启动,并且可能会遇到LSA Shell错误或者lsass错误的
  提示(注意,Svchost出错并重启是welnachi.b/c病毒的特征);
  变种E在激活后的2小时内每秒钟调用一次系统关机,并出现含有下列文本的消息:
  1. Your computer is affected by the MS04-011 vulnerability
  2. It can be that dangerous computer viruses similar
     the Blaster worm infect your computer
  3. Please update your computer with the MS04-011 LSASS patch
     from the www.microsoft.com website
  4. This is an message from the SkyNet Team for
     malicious activity prevention
②系统进程中有avserve.exe,avserve2.exe,skynetave.exe,lsasss.exe,napatch.exe
  中的一个(或者*_up.exe和*_update.exe,见⑥。
③Windows 2000系统的WINNT目录或Windows XP系统的WINDOWS目录存在以上某一个文件;
④在注册表中
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  位置存在以上某一个文件名的值;
⑤在系统的TCP端口5554[A-D,F]/1023[E]开启一个FTP服务;
⑥该病毒会试图连接随机生成的IP地址的计算机的TCP端口445,如果成功建立连接,
  病毒会通过代码使远程计算机在TCP端口9996[A,B,C,F]/9995[D]/1022[E]运行一个
  远程应用程序,连接回本地已开启的FTP获取该病毒的一个副本并执行,这个病毒
  的副本具有
  "*_up.exe" [A-D,F] ,"*_update.exe" [E]
  的形式,其中*代表介于1000和99999之间的数字;
⑦在C盘根目录下生成
  win.log [A], win2.log [B-D,F], ftplog.txt [E]
  其中含有最近扫描的IP和已感染计算机数。
※移除方案——
注意:使用下列方法前请关闭Windows XP的系统还原!
①专杀工具:
  Norton  ——  最新版本为 1.0.4,可以查杀 E 变种;
  http://securityresponse.symantec.com/avcenter/FxSasser.exe
  McAfee stinger  ——  最新版本为 2.2.6,可以查杀 E 变种;
  http://download.nai.com/products/mcafee-avert/stinger.exe
  http://mail.ustc.edu.cn/~fyu4/t/stinger_226.exe(校内)
  Microsoft  ——  最新版本为 V4,可以查杀 F 变种;
  http://www.microsoft.com/china/technet/security/tools/sasserclear.asp
  瑞星    ——  最新版本为 2.6,可以查杀 F 变种;
  http://download.rising.com.cn/zsgj/RavSasser.exe
  金山    ——  最新版本为 2004.5.10.5,可以查杀 E 变种。
    http://www.duba.net/download/3/113.shtml
②手动移除:
  微软建议的手动移除过程如下,更多的资料请参阅本版文摘区!
  首先安装相应版本的Windows的 KB835732(修补LSASS的安全漏洞)
  关键更新,再进行下述方法中的(1)~(6)。
  (1)启用防火墙软件(例如NIS,ZAP)或者打开Windows XP自带的防火墙;
  (2)断开网络连接(拔掉网线);
  (3)如果正常启动出现问题,请启动至安全模式(开机时按F8键),并跳过下一步;
  (4)使用任务管理器(通过Ctrl+Alt+Del组合键调用)终止
       avserve.exe;avserve2.exe;skynetave.exe;lsasss.exe;napatch.exe;
       *_up.exe;*_update.exe 进程;
  (5)在硬盘驱动器上搜索并删除
       avserve.exe;avserve2.exe;skynetave.exe;lsasss.exe;napatch.exe;
       *_up.exe;*_update.exe 文件;
  (6)使用注册表编辑器删除
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
       位置下的
       "avserve.exe"="%Windir%\avserve.exe"
       "avserve2.exe"="%Windir%\avserve2.exe"
       "skynetave.exe"="%Windir%\skynetave.exe"
       "lsasss.exe"="%Windir%\lsasss.exe"
       "napatch.exe"="%Windir%\napatch.exe"
  (7)连接网络并到 http://windowsupdate.microsoft.com 进行更新,
       请务必确保安装了全部的关键更新。
       微软为教育网提供的代理服务器为202.194.15.124:8080
最后,我们提醒用户,一定养成良好的操作习惯以防止病毒攻击,保证系统安全:
  一、使用Windows Update打系统补丁;
      1、装完系统,立即打上最新最全的系统补丁。在线升级打补丁。
      2、开启windows自动更新或定时运行windows update更新,所有的关键补丁一定都要
打上;
    二、良好的系统管理配置
      1、设置强健的管理员密码,不要用1234 abcd asdf 之类的口令。(建议google
         一下弱口令)、禁用其他一切不必要的帐户;
      2、关闭不必要的服务,那些服务是多余的,google可知,
         修改位置:控制面板-计算机管理-服务
      3、运行里 多用用 regedit,在系统正常的时候,做个注册表备份。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
     这两个下面,你放心的删。
      4、关闭不必要的文件共享!
   三、利用漏洞扫描工具进行系统漏洞检查;
  四、安装反病毒软件,定时升级并随时打开防火墙。
      1、推荐反病毒软件有Norton 2004,McAfee VSE 7.1, officescan,
                         AVP personal pro 4.5,金山毒霸,瑞星等
      2、推荐网络防火墙: windowsxp自带防火墙,ZonaAlarmPro,
                         Norton personal firewall等
      3、反病毒软件和网络防火墙一般各装一个就可以了,
         否则容易引起冲突或拖慢系统运行速度。
      4、定时更新或自动更新反病毒软件的病毒库;
    五、使用反病毒软件的常见操作有进入安全模式,关闭winxp/me的系统还原。
作者: 芳芳    时间: 2004-5-13 02:25     标题: [专题]W32.Sasser.[A-F].Worm/震荡波/系统重启


很感谢feiyu给广大计算机使用者奉献了这么一个能解决重要问题的好贴.




欢迎光临 NBCLUB笔记本电脑俱乐部 合肥THINKPAD APPLE LENOVO DELL专卖店 (http://nbclub.net/discuz/) Powered by Discuz! 7.2