- 中文名
- 震荡波
- 外文名
- Shockwave
- 适用领域
- 计算机
- 应用学科
- IT
- 应用领域
- 病毒
病毒介绍
播报编辑
冲击波(Worm阿体巴.Blaster)病毒是利用微软公司在2003年7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服重几格务并且没有打安全补笑朽丁的计算机都存在有RP誉您船海C漏洞,具体涉及的操作系统是:W请企局indows2000、XP、Server 2003。
该病毒感染系统后,会店笑拜使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏榆府匪览网页,复制粘贴等操作受到严重影响,DNS希纸和IIS服务遭到非法拒绝等。 [1]
病毒信息
播报编辑
病毒大小:15,872字节
病毒类型:蠕虫病毒
病毒危险等级:★★★★★
病毒传播途径:网络
病毒依赖系统:Windows 2000/XP
变种:Worm.Sasser.b/c/d/e/f
未受影响的系统:
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
Microsoft Windows Vista
Microsoft Windows 8
Microsoft Windows 8.1
Microsoft Windows 10 [2]
病毒行为
播报编辑
在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。 [2]
技术特征
播报编辑
- 1.
- 2.利用微软的漏洞:MS04-011;
- 3.病毒运行后,将自身复制为%WinDir%\napatch.exe
- 4.在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:"napatch.exe" = %WinDir%\napatch.exe;这样,病毒在Windows启动时就得以运行。
- 5.
- 6.随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染。
- 7.
- 8.
病毒运行机制
播报编辑
- 1.
- 2.病毒运行时会将自身复制为:%systemdir%\msblast.exe,用户可以手动删除该病毒文件。
- 3.注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:"C:\Windows"或:"C:\WINNT",也可以是用户在安装操作系统时指定的其它目录。
- 4.
- 5.病毒体内隐藏有一段文本信息:I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!
- 6.当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
- 7.病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。 [1]
清除方法
播报编辑
DOS环境清除
当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)
命令操作集:
dir msblast.exe /s/p
Del msblast.exe
安全模式清除
当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。
防范方式
播报编辑
下载补丁
首先,用户必须迅速下载微软补丁程序,作为对于该病毒的防范。
专杀工具
手工删除
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。
手工清理
断网打补丁
如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到微软网站下载相应的漏洞补丁程序 ,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
清除内存中的病毒进程
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三键或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。
删除病毒文件
病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。
删除注册表键值
该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%WINDOWS%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器,找到该病毒键值,然后直接删除。