新闻动态
首页 · 新闻动态 · 院部动态 · 正文
如何防范振荡波
来源:红叶新闻中心 发布时间:2004-05-14 10:23 点击量:
1.Worm.Sasser.c

   病 毒 名: Worm.Sasser.c
   病毒别名: 震荡波
   行为类型: WINDOWS下的蠕虫程序

   概 要:
   此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性。

    详细资料:
   一、这是一个类似冲击波的病毒,利用微软操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。
   受感染的操作系统有:
    Microsoft Windows 2000 Service Pack 2,
    Microsoft Windows 2000 Service Pack 3,
    Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP
    Microsoft Windows XP Service Pack 1
    Microsoft Windows XP 64-Bit Edition Service Pack 1
    Microsoft Windows XP 64-Bit Edition Version 2003
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition

   二、病毒的破坏行为:

   1.首先拷贝自身到windows目录,名为%WINDOWS%avserve2.exe(15,872字节),然后登记到自启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunavserve2.exe = %WINDOWS%avserve2.exe

   2.开辟线程,在本地开辟后门。监听TCP 5554端口(支持USER、PASS、PORT、RETR和QUIT命令)被攻击的机器主动连接本地5554端口,把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。

   3.病毒开辟1024个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,如果试探成功,则运行一个新的病毒进程对该目标进行攻击,把该目标的ip地址保存到“c:win2.log”。

   4.利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出,可以获取管理员的权限,执行任意指令。

   5.溢出代码会主动从原机器下载病毒程序并运行,开始新的攻击。

   清除方法:
   请用户立即给计算机打最新的补丁
http://www.microsoft.com/china/technet/security/bulletin
/ms04-011.mspx

   手动清除:

(1)打开注册表编辑器,删除如下键值< 如果存在的话>:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
" avserve2.exe "="%WINDOWS%avserve2.exe "
(2) 打开任务管理器查看是否存在进程名为: avserve2.exe,终止它
(3)删除%WINDOWS%avserve2.exe
注:%WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:C:WINDOWS,
Win2K下默认为:C:WINNT。
   新闻事件来源:红叶新闻中心    作者来源:      录入:feng