安全知識堂之“震蕩波”的蠕蟲病毒的特征與防治
以下的文章主要向大家講述的是安全知識堂之“震蕩波”的蠕蟲病毒,眾所周知2004年一個叫“震蕩波”的蠕蟲病毒席卷了全世界,導(dǎo)致數(shù)千萬的電腦癱瘓,數(shù)億的財產(chǎn)在這次浩劫中付諸東流。
2004年的“毒王”寶座最終被“震蕩波”病毒奪得。2004年“五一”期間及其后的短短的十幾天內(nèi),一個叫“震蕩波”的蠕蟲病毒席卷了全世界,數(shù)千萬的電腦癱瘓,數(shù)億的財產(chǎn)在這次浩劫中付諸東流。“震蕩波”一夜之間成為家喻戶曉的病毒,至今許多電腦用戶仍心有余悸,其毒性之大,造成后果之嚴重堪稱2004年之最。
“震蕩波”病毒自2004年5月1日首次被截獲以來,短短幾天席卷全球,12天之內(nèi)接連出現(xiàn)6個變種。“震蕩波”由18歲的德國少年斯文·揚森編寫,該病毒跟2003年的“沖擊波”病毒非常類似,同屬于的網(wǎng)絡(luò)蠕蟲,感染W(wǎng)indows 2000、Windows Server 2003、Windows XP系統(tǒng),它是利用微軟的MS04-011漏洞,通過互聯(lián)網(wǎng)進行傳播,但不通過郵件傳播。蠕蟲能自動在網(wǎng)絡(luò)上搜索含有漏洞的系統(tǒng),在含有漏洞的系統(tǒng)的TCP端口5554建立FTP文件服務(wù)器,自動創(chuàng)建FTP腳本文件,并運行該腳本,該腳本能自動引導(dǎo)被感染的機器下載執(zhí)行蠕蟲程序,用戶一旦感染后,病毒將從TCP的1068端口開始搜尋可能傳播的IP地址,系統(tǒng)將開啟上百個線程去攻擊他人,造成計算機運行異常緩慢、網(wǎng)絡(luò)不暢通,并讓系統(tǒng)不停重新啟動。
該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,也是通過微軟的最新LSASS漏洞進行傳播,我們及時提醒廣大用戶及時下載微軟的補丁程序來預(yù)防該病毒的侵害。如果在純DOS環(huán)境下執(zhí)行病毒文件,會顯示出譴責(zé)美國大兵的英文語句。
具體技術(shù)特征如下:
1.感染系統(tǒng)為:Windows 2000、Windows Server 2003、Windows XP
2.利用微軟的漏洞:MS04-011;補丁下載地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
3.病毒運行后,將自身復(fù)制為%WinDir%\napatch.exe
4.在注冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創(chuàng)建:"napatch.exe" = %WinDir%\napatch.exe;這樣,病毒在Windows啟動時就得以運行。
5.在TCP端口5554建立FTP服務(wù),用以將自身傳播給其他計算機。
6.隨機在網(wǎng)絡(luò)上搜索機器,向遠程計算機的445端口發(fā)送包含后門程序的非法數(shù)據(jù),遠程計算機如果存在MS04-011漏洞,將會自動運行后門程序,打開后門端口9996。病毒利用后門端口9996,使得遠程計算機連接病毒打開的FTP端口5554,下載病毒體并運行,從而遭到感染。
7.病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓,Windows系統(tǒng)將會有1分鐘倒計時關(guān)閉的提示。
8.病毒在C:\win2.log中記錄其感染的計算機數(shù)目和IP地址
如何防范“震蕩波”
首先,用戶必須迅速下載微軟補丁程序,對于該病毒的防范,http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx。
金山或者瑞星用戶迅速升級殺毒軟件到最新版本,然后打開個人防火墻,將安全等級設(shè)置為中、高級,封堵病毒對該端口的攻擊。
非金山或者瑞星用戶迅速下載免費的專殺工具,下載地址為:http://dl.pconline.com.cn/html/1/8/dlid=13058&dltypeid=1&pn=0&.html。
如果用戶已經(jīng)被該病毒感染,首先應(yīng)該立刻斷網(wǎng),手工刪除該病毒文件,然后上網(wǎng)下載補丁程序,并升級殺毒軟件或者下載專殺工具。手工刪除方法:查找該目錄C:\WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件,將其刪除。上述的相關(guān)內(nèi)容就是對安全知識堂之“震蕩波”的蠕蟲病毒的描述,希望會給你帶來一些幫助在此方面。
【編輯推薦】
- 首款利用SSH漏洞的iPhone蠕蟲病毒現(xiàn)身
- 如何在局域網(wǎng)內(nèi)防止蠕蟲病毒的傳播?
- Conficker蠕蟲病毒并未終結(jié)
- UTM跨界組合情景視頻:蠕蟲病毒防御
- 美國宅男高中生連放兩只Twitter蠕蟲病毒
