|
震荡波变种蠕虫病毒的防治 |
|
|
|
|
|
震荡波 A和震荡波 B 型变种蠕虫病毒将使受感染的Windows 2000 和 Windows XP 机器崩溃。
震荡波及其变种是能够感知网络的蠕虫病毒,它们不需要电子邮件或者用户的交互就能够传染。这些蠕虫首先感染新的机器,然后从先前感染的机器上下载完整的代码,这就形成一种引导效应。震荡波 A (w32.sasser.a)和震荡波 B(w32.sasser.b)的大小都是15,872 字节。它们会随机地扫描本地网络和 Internet,以寻找渌梢员桓腥镜南低场U庖簧韫袒嵬下? Internet 上的正常流量。容易受到攻击的系统包括没有安装微软安全公告上 MS04-011修补文件,且没有运行桌面防火墙软件的Windows 2000 和 Windows XP 机器。震荡波病毒既不影响其他任何版本的 Windows,也不影响Linux、Unix、Mac OS 或者其他的操作系统。由于震荡波病毒及其变种通过 Internet 传播,且允许远程用户访问你的 PC,所以这个病毒位列CNET/ZDNet 病毒榜的第七名。
工作原理
震荡波病毒利用了本地安全验证子系统(Local Security Authority Subsystem,LSASS)里的一个缓冲区溢出错误,从而使得攻击者能够取得被感染系统的控制权。微软在 4 月 13 日发布了 MS04-011 修补文件来解决这个错误。
震荡波病毒会用下面的名字把自己加入到 Windows 目录里:
震荡波 A AVSERVE.EXE
震荡波 B AVSERVE2.EXE
它会把下面的内容加到系统注册表文件里:
震荡波 A:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe = c:\Windows\avserve.exe
震荡波 B:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve2.exe = c:\Windows\avserve2.exe
对注册表的这一点改变将使得震荡波蠕虫在机器重启之后就开始运行。
震荡波病毒会利用 TCP 端口 5554 架设一个 FTP 服务器。同时,它使用 TCP 端口5554 随机搜索 Internet 的网段,寻找其它没有修补 LSASS 错误的 Windows 2000 和 Windows XP 系统。震荡波病毒会发起 128 个线程来扫描随机的IP地址,并连续侦听从 TCP 端口 1068 开始的各个端口。微软的报告表明,这些蠕虫还使用 TCP 端口 139。端口 139 和 445 都是 Windows 文件共享协议所使用的端口。
如果震荡波蠕虫在本地网络或者 Internet 上发现了可以进行攻击的计算机,它就会发送一个专门设计的数据包,导致lsass.exe 里的缓冲区溢出错误。溢出里包括刚刚被感染机器里脚本文件cmd.ftp 中的一些指令,以打开TCP端口9936,还包括一些指令,从而将自己的副本从先前被感染机器的 TCP 端口 5554 上下载下来,比如
[some random number]_up.exe.
然后cmd.ftp 这个文件就会被删除。震荡波病毒就在刚刚被感染的机器的根目录里创建一个win.log 文件,里面包括当前被感染的远程系统的数量,以及最后被感染系统的 IP 地址。震荡波 B 创建的文件是win2.log。
预防
微软已经开设了一个专门的页面,告诉人们如何防止震荡波病毒的感染。基本上,桌面防火墙应该能够保护易受攻击的系统,直到微软的安全修补文件可以被下载。如果你没有个人防火墙,你应该首先安装一个,以限制震荡波蠕虫的影响。点击这里下载微软的 MS04-011 安全修补文件。
清除
大多数反病毒软件公司已经更新了它们的签名文件,把这一蠕虫病毒包括进来了。这将阻止感染的传播,并在某些情况下从你的系统里清除活动的病毒文件。但是,仅仅删除震荡波蠕虫病毒的感染是不够的;受到感染的系统仍然容易受到攻击,除非LSASS 漏洞本身被修补。
在百度中查找更多震荡波变种蠕虫病毒的防治 的内容
|
|
|
|
|
|
“ 震荡波变种蠕虫病毒的防治 ”来源于网络,版权归作者所有!勿用于商业用途。 |
|
| |
本类阅读TOP10