病毒信息:
病毒名稱: Worm.Sasser.f
中文名稱: 震盪波變種 E
病毒長度: 74,752 位元組
威脅級別: 3A
病毒類型: 蠕蟲
病毒別名: W32.Sasser.f.Worm[Symantec]
受影響系統: Windows 2000, Windows XP, Windows 2003
· 堵塞網路。病毒的攻擊行為可讓系統不停的倒計時重啟;
下載特定檔案並運行,來達到感染的目的。
(CAN-2003-0907)]
系統修改:
A 、將自身複製到 %SystemRoot%\\\\napatch.exe ( 通常為 C:\\\\WinNT\\\\ 或 C:\\\\Windows)
B 、在註冊表主鍵:
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
下添加如下鍵值 :
"napatch.exe" = %SystemRoot%\\\\napatch.exe
B 、拷貝其本身至系統目錄:
%System%\\\\<5 位隨機數字 >_up.exe
C 、在 C 盤根目錄創建以下檔案:
C:\\\\win2.log( 該檔案用以記錄本地主機的 IP 地址 )
D 、使用 AbortSystemShutdown API 來防止系統重啟或關機。
E 、它開啟 TCP 連線埠 5554 來建立一個 FTP 伺服器,用來當作感染其他機器的伺服器。
F 、通過 TCP445 連線埠掃描隨機的 IP 地址,當連線成功時,被感染的計算機向被連線機器發動溢出攻擊,被攻擊的計算機將會自動連線被感染計算機的 5554 連線埠並通過 FTP 下載蠕蟲的副本,名稱一般為 4 到 5 個數字加上 "_up" 的組合,如 (78456_up.exe).
G 、由於該病毒本身編寫的漏洞存在,它運行一段時間後會導致 LSASS.EXE 的崩潰,當 LSASS.EXE 崩潰時系統默認會重啟。
檔案名稱為: napatch.exe
I 、創建了互斥體 billgate 用於判斷是否已運行。
解決方案:
· 手工解決方案
首先,若系統為WinMe或WinXP,則請先關閉系統還原功能;
(毒霸論壇:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系統還原”功能) 對於系統是 Win9x/WinMe
步驟一,刪除病毒主程式
請使用乾淨的系統軟碟引導系統到純 DOS 模式,然後轉到系統目錄(默認的系統目錄為
C:\\\\windows ),分別輸入以下命令,以便刪除病毒程式:
C:\\\\windows\\\\system32\\\\>del *_up.exe
C:\\\\windows\\\\system32\\\\>cd..
C:\\\\windows\\\\>del napatch.exe
完畢後,取出系統軟碟,重新引導到 Windows 系統。
如果手中沒有系統軟體盤,可以在引導系統時按“ F5 ”鍵也可進入純 DOS 模式;
步驟二,清除病毒在註冊表里添加的項
打開註冊表編輯器 : 點擊開始 > 運行 , 輸入 REGEDIT, 按 Enter ;
在左邊的面板中 , 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
在右邊的面板中 , 找到並刪除如下項目:
"napatch" = %SystemRoot%\\\\napatch.exe
關閉註冊表編輯器 .
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務
管理器中,單擊“進程”標籤,在例表欄內找到病毒進程 “avserve2.exe”,單擊“結束進程
按鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
"napatch.exe" ,將它刪除 ; 然後進入系統目錄 (Winnt\\\\system32 或 windows\\\\system32) ,
找到檔案 " _up.exe ", 將它們刪除;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
在右邊的面板中 , 找到並刪除如下項目:
"napatch" = %SystemRoot%\\\\napatch.exe
關閉註冊表編輯器.
