人在德国社区 - Powered by Discuz! Board

标题: 如何快速识别震荡波(Worm.Sasser)病毒 [打印本页]

作者: 蓝海 时间: 2004-5-4 17:23 标题: 如何快速识别震荡波(Worm.Sasser)病毒

病毒中文名：震荡波
病毒英文名：Worm.Sasser
病毒大小：15,872字节
病毒类型：蠕虫病毒
病毒危险等级：★★★★★
病毒传播途径：网络
病毒依赖系统：Windows NT/2000/XP

“震荡波”病毒破坏方式

在本地开辟后门。监听TCP 5554端口，做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。

5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹，该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的，危害性极大，目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。

　　如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒。

　　一、出现系统错误对话框

　　被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。

二、系统日志中出现相应记录

　　如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如下图所示的日志记录，则证明已经中毒。

三、系统资源被大量占用

　　病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。

　　四、内存中出现名为 avserve 的进程

　　病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。

　　五、系统目录中出现名为 avserve.exe 的病毒文件

　　病毒如果攻击成功，会在系统安装目录（默认为 C:WINNT ）下产生一个名为avserve.exe 的病毒文件。

　　六、注册表中出现病毒键值

　　病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 项中建立病毒键值： "avserve.exe "="%WINDOWS%avserve.exe " 。

作者: 蓝海 时间: 2004-5-4 17:28

瑞星的专杀软件很小（81K），大家去下载吧

作者: westland 时间: 2004-5-6 20:27

替楼主补充专杀工具链接

作者: 蓝海 时间: 2004-5-6 20:38

好，谢谢！！！

作者: 蓝海 时间: 2004-5-14 18:29

顶!!!!111!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

欢迎光临人在德国社区 (http://rs238848.rs.hosteurope.de/bbs/)