“震盪波”D變種

病毒信息：

中文名稱: 震盪波變種D

病毒類型: 蠕蟲

受影響系統: WinNT/Win2000/WinXP/Win2003

發現日期: 2004.05.03

處理日期: 2004.05.03

發作現象：

· 它開啟TCP連線埠5554來建立一個FTP伺服器，用來當作感染其他機器的伺服器。

·開啟128執行緒掃描隨機IP，但是將跳過以下的保留IP：

127.0.0.1

10.*.*.*

172.16.*.* - 172.31.*.*

192.168.*.*

169.254.*.*

在確定目標可達後會試圖連線目標的的TCP 445連線埠，如果連線成功，則開始對該目標進行攻擊，並把最近攻擊的一個目標的ip地址和攻擊成功的目標數目保存到C:\win2.log。

·如果連線成功，則被感染計算機向被連線機器發動溢出攻擊，溢出成功則會在被連線機器上打開一個shell，並打開9995連線埠。然後，被攻擊的計算機將會自動連線被感染計算機的5554連線埠，並通過FTP下載蠕蟲的副本，名稱一般為4到5個數字加上"_up"的組合，如(78456_up.exe)。

這次的變種又將掃描的執行緒數改為128個，並且在連線目標機器之前，會先傳送一個ICMP數據包測試目標機器是否可達，所以比C變種傳播效率更高，但這將導致它在某些版本的WinNT/Win2000系統上無法發作。

該病毒只感染Windows XP/2003系統及部分WinNT/Win2000系統。某些WinNT/Win2000系統會受到攻擊，但從源感染主機下載下來的病毒程式在這些系統下無法正常運行，會彈出一個出錯視窗，所以這些機器不會再成為新的感染源。

該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerability (CAN-2003-0907)]，關於該漏洞的更多信息請訪問：

創建了互斥體Jobaka3和SkynetSasserVersionWithPingFast,後者用於判斷是否已運行。

病毒啟動後會調用系統API來限制系統重啟或關機,但實際上不一定能達到這個目的。

系統修改：

. 將自身複製到%SystemRoot%\skynetave.exe

. 在註冊表主鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下添加如下鍵值:

"skynetave.exe" = %SystemRoot%\skynetave.exe

. 拷貝其本身至系統：%System%\<4或5位隨機數字>_up.exe

· 請使用金山毒霸2004年05月04日的病毒庫可完全處理該病毒；

·使用針對該病毒的專殺工具；

·建議使用“震盪波”專用防火牆預防該病毒, 升級微軟補丁程式；

· 手工解決方案

首先，若系統為WinMe，則請先關閉系統還原功能；

（毒霸論壇：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系統還原”功能）

步驟一，使用進程式管里器結束病毒進程

右鍵單擊系統列，彈出選單，選擇“任務管理器”，調出“Windows任務管理器”視窗。在任務

管理器中，單擊“進程”標籤，在例表欄內找到病毒進程“skynetave.exe”，單擊“結束進程

按鈕”，點擊“是”，結束病毒進程，然後關閉“Windows任務管理器”；

步驟二，查找並刪除病毒程式

通過“我的電腦”或“資源管理器”進入系統目錄（Winnt或windows)，找到檔案

"skynetave.exe"，將它刪除；然後進入系統目錄(Winnt\system32或windows\system32)，找到檔案"*_up.exe", 將它們刪除；

步驟三，清除病毒在註冊表里添加的項

打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter；

在左邊的面板中, 雙擊（按箭頭順序查找，找到後雙擊）：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在右邊的面板中, 找到並刪除如下項目：

"skynetave.exe" = %SystemRoot%\skynetave.exe

關閉註冊表編輯器.