複製鏈接
請複製以下鏈接發送給好友

震盪波

(電腦病毒)

編輯 鎖定
震盪波(Shockwave)是一種電腦病毒,為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,也是通過微軟的最新LSASS漏洞進行傳播。
中文名
震盪波
外文名
Shockwave
適用領域
計算機
應用學科
IT
應用領域
病毒

震盪波基本介紹

編輯

震盪波綜述

衝擊波(Worm.Blaster)病毒是利用微軟公司在2003年7月21日公佈的RPC漏洞進行傳播的,只要是計算機上有RPC服務並且沒有打安全補丁的計算機都存在有RPC漏洞,具體涉及的操作系統是:Windows2000、XP、Server 2003。
該病毒感染系統後,會使計算機產生下列現象:系統資源被大量佔用,有時會彈出RPC服務終止的對話框,並且系統反覆重啓, 不能收發郵件、不能正常複製文件、無法正常瀏覽網頁,複製粘貼等操作受到嚴重影響,DNS和IIS服務遭到非法拒絕等。 [1] 

震盪波病毒描述

病毒表現截圖:出現系統錯誤對話框 病毒表現截圖:出現系統錯誤對話框
病毒英文名:Worm.Sasser
病毒大小:15,872字節
病毒類型:蠕蟲病毒
病毒危險等級:★★★★★
病毒傳播途徑:網絡
病毒依賴系統:Windows 2000/XP
變種:Worm.Sasser.b/c/d/e/f
未受影響的系統:
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
Microsoft Windows Vista
Microsoft Windows 8
Microsoft Windows 8.1
Microsoft Windows 10 [2] 

震盪波破壞方式

在本地開闢後門。監聽TCP 5554端口,做為FTP服務器等待遠程控制命令。病毒以FTP的形式提供文件傳送。黑客可以通過這個端口偷竊用户機器的文件和其他信息。 病毒開闢128個掃描線程。以本地IP地址為基礎,取隨機IP地址,瘋狂的試探連接445端口,試圖利用windows的LSASS 中存在一個緩衝區溢出漏洞進行攻擊,一旦攻擊成功會導致對方機器感染此病毒並進行下一輪的傳播,攻擊失敗也會造成對方機器的緩衝區溢出,導致對方機器程序非法操作,以及系統異常等。 [2] 

震盪波技術特徵

2.利用微軟的漏洞:MS04-011;
3.病毒運行後,將自身複製為%WinDir%\napatch.exe
系統日誌中出現相應記錄 系統日誌中出現相應記錄
4.在註冊表啓動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:"napatch.exe" = %WinDir%\napatch.exe;這樣,病毒在Windows啓動時就得以運行。
5.在TCP端口5554建立FTP服務,用以將自身傳播給其他計算機。
6.隨機在網絡上搜索機器,向遠程計算機的445端口發送包含後門程序的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行後門程序,打開後門端口9996。病毒利用後門端口9996,使得遠程計算機連接病毒打開的FTP端口5554,下載病毒體並運行,從而遭到感染。
7.病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓,Windows系統將會有1分鐘倒計時關閉的提示。
8.病毒在C:\win32.log中記錄其感染的計算機數目和IP地址

震盪波發現清除

1. 病毒運行時會建立一個名為:"BILLY"的互斥量,使病毒自身不重複進入內存,並且病毒在內存中建立一個名為:"msblast"的進程,用户可以用任務管理器將該病毒進程終止。
2. 病毒運行時會將自身複製為:%systemdir%\msblast.exe,用户可以手動刪除該病毒文件。
注意:%Windir%是一個變量,它指的是操作系統安裝目錄,默認是:"C:\Windows"或:"c:\Winnt",也可以是用户在安裝操作系統時指定的其它目錄。
3. 病毒會修改註冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,在其中加入:"windows auto update"="msblast.exe",進行自啓動,用户可以手工清除該鍵值
4. 病毒體內隱藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
5. 當病毒攻擊失敗時,可能會造成沒有打補丁的Windows系統RPC服務崩潰,Windows XP系統可能會自動重啓計算機。該蠕蟲不能成功攻擊Windows Server2003,但是可以造成Windows Server2003系統的RPC服務崩潰,默認情況下是系統反覆重啓。
6. 病毒檢測到當前系統月份是8月之後或者日期是15日之後,就會向微軟的更新站點"windowsupdate.com"發動拒絕服務攻擊,使微軟網站的更新站點無法為用户提供服務。 [1] 

震盪波手工清除

一、DOS環境下清除該病毒:
1.當用户中招出現以上現象後,用DOS系統啓動盤啓動進入DOS環境下,進入C盤的操作系統目錄.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)
2. 查找目錄中的"msblast.exe"病毒文件。
命令操作集:
dir msblast.exe /s/p
3.找到後進入病毒所在的子目錄,然後直接將該病毒文件刪除。
Del msblast.exe
二、 在安全模式下清除病毒
如果用户手頭沒有DOS啓動盤,還有一個方法,就是啓動系統後進入安全模式,然後搜索C盤,查找msblast.exe文件,找到後直接將該文件刪除,然後再次正常啓動計算機即可。
給系統打補丁方案:
當用户手工清除了病毒體後,應上網下載相應的補丁程序,用户可以先進入微軟網站,下載相應的系統補丁,給系統打上補丁。

震盪波防範方式

編輯

震盪波下載補丁

首先,用户必須迅速下載微軟補丁程序,作為對於該病毒的防範。

震盪波專殺工具

金山或者瑞星用户迅速升級殺毒軟件到最新版本,然後打開個人防火牆,將安全等級設置為中、高級,封堵病毒對該端口的攻擊。非金山或者瑞星和360用户迅速下載免費的專殺工具。

震盪波手工刪除

如果用户已經被該病毒感染,首先應該立刻斷網,手工刪除該病毒文件,然後上網下載補丁程序,並升級殺毒軟件或者下載專殺工具。手工刪除方法:查找C:\WINDOWS目錄下產生名為avserve.exe的病毒文件,將其刪除。

震盪波手工清理

斷網打補丁
如果不給系統打上相應的漏洞補丁,則連網後依然會遭受到該病毒的攻擊,用户應該先到微軟網站下載相應的漏洞補丁程序 ,然後斷開網絡,運行補丁程序,當補丁安裝完成後再上網。
清除內存中的病毒進程
要想徹底清除該病毒,應該先清除內存中的病毒進程,用户可以按CTRL+SHIFT+ESC三鍵或者右鍵單擊任務欄,在彈出菜單中選擇“任務管理器”打開任務管理器界面,然後在內存中查找名為“avserve.exe”的進程,找到後直接將它結束。
刪除病毒文件
病毒感染系統時會在系統安裝目錄(默認為C:\WINNT)下產生一個名為avserve.exe的病毒文件,並在系統目錄下(默認為C:\WINNT\System32)生成一些名為<隨機字符串>_UP.exe的病毒文件,用户可以查找這些文件,找到後刪除,如果系統提示刪除文件失敗,則用户需要到安全模式下或DOS系統下刪除這些文件。
該病毒會在電腦註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項中建立名為“avserve.exe”,內容為:“%WINDOWS%\avserve.exe”的病毒鍵值,為了防止病毒下次系統啓動時自動運行,用户應該將該鍵值刪除,方法是在“運行”菜單中鍵入“REGEDIT” 然後調出註冊表編輯器,找到該病毒鍵值,然後直接刪除。 [3] 
參考資料