震盪波計算機病毒

該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,也是通過微軟的最新LSASS漏洞進行傳播,我們及時提醒廣大用戶及時下載微軟的補丁程式來預防該病毒的侵害。如果在純DOS環境下執行病毒檔案,會顯示出譴責美國大兵的英文語句。

基本介紹

  • 中文名:震盪波計算機病毒
  • 類型:電腦病毒
  • 攻擊對象:Windows2000,2003,XP 
技術特徵,如何防範,

技術特徵


1.感染系統為:Windows 2000、Windows Server 2003、Windows XP
2.利用微軟的漏洞:MS04-011;
3.病毒運行後,將自身複製為%WinDir%\napatch.exe
4.在註冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:"napatch.exe" = %WinDir%\napatch.exe;這樣,病毒在Windows啟動時就得以運行。
5.在TCP連線埠5554建立FTP服務,用以將自身傳播給其他計算機。
6.隨機在網路上搜尋機器,向遠程計算機的445連線埠傳送包含後門程式的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行後門程式,打開後門連線埠9996。病毒利用後門連線埠9996,使得遠程計算機連線病毒打開的FTP連線埠5554,下載病毒體並運行,從而遭到感染。
7.病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓,Windows系統將會有1分鐘倒計時關閉的提示。
8.病毒在C:\win2.log中記錄其感染的計算機數目和IP位址

如何防範


首先,用戶必須迅速下載微軟補丁程式,對於該病毒的防範,
金山或者瑞星用戶迅速升級防毒軟體到最新版本,然後打開個人防火牆,將安全等級設定為中、高級,封堵病毒對該連線埠的攻擊。
非金山或者瑞星用戶迅速下載免費的專殺工具,
如果用戶已經被該病毒感染,首先應該立刻斷網,手工刪除該病毒檔案,然後上網下載補丁程式,並升級防毒軟體或者下載專殺工具。手工刪除方法:查找該目錄C:\WINDOWS目錄下產生名為avserve.exe的病毒檔案,將其刪除。

相關詞條

熱門詞條

聯絡我們