系統知識網 系統知識 震蕩波病毒的中毒表現和震蕩波病毒特點及防范方法

震蕩波病毒的中毒表現和震蕩波病毒特點及防范方法

发布: 2024-03-08 9阅读

震蕩波病毒是比較有名的一種計算機病毒,中毒後會給用戶數據、操作系統造成很大的損壞,甚至電腦不能啟動!當然隨著殺毒軟件免費流行,病毒越來越少,不過呢還是不能不防,下面小編要介紹震蕩波病毒的中毒表現和震蕩波病毒特點及防范方法。沖擊波(Worm。

震蕩波病毒是比較有名的一種計算機病毒,中毒後會給用戶數據、操作系統造成很大的損壞,甚至電腦不能啟動!當然隨著殺毒軟件免費流行,病毒越來越少,不過呢還是不能不防,下面小編要介紹震蕩波病毒的中毒表現和震蕩波病毒特點及防范方法。

沖擊波(Worm.Blaster)病毒是利用微軟公司在2003年7月21日公佈的RPC漏洞進行傳播的,隻要是計算機上有RPC服務並且沒有打安全補丁的計算機都存在有RPC漏洞,具體涉及的操作系統是:Windows2000、XP、Server 2003。
該病毒感染系統後,會使計算機產生下列現象:系統資源被大量占用,有時會彈出RPC服務終止的對話框,並且系統反復重啟, 不能收發郵件、不能正常復制文件、無法正常瀏覽網頁,復制粘貼等操作受到嚴重影響,DNS和IIS服務遭到非法拒絕等

震蕩波(Shockwave)是一種電腦病毒,為I-Worm/Sasser.a 的第三方改造版本,與該病毒以前的版本相同,通過微軟的最新LSASS漏洞進行傳播,我們及時提醒廣大用戶及時下載微軟的補丁程序來預防該病毒的侵害。如果在純DOS環境下執行病毒文件,會顯示出譴責美國大兵的英文語句。

具體技術特征如下:

  1、感染系統為:Windows 2000、Windows Server 2003、Windows XP、Windows 7 ;

  2、利用微軟的漏洞:MS04-011

  3、病毒運行後,將自身復制為%WinDir%\napatch.exe ;

  4、在註冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:“napatch.exe” = %WinDir%\napatch.exe;這樣,病毒在Windows啟動時就得以運行;

  5、在TCP端口5554建立FTP服務,用以將自身傳播給其他計算機;

  6、隨機在網絡上搜索機器,向遠程計算機的445端口發送包含後門程序的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行後門程序,打開後門端口9996。病毒利用後門端口9996,使得遠程計算機連接病毒打開的FTP端口5554,下載病毒體並運行,從而遭到感染;

  7、病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓,Windows系統將會有1分鐘倒計時關閉的提示;

  8、病毒在C:\win32.log中記錄其感染的計算機數目和IP地址.

  該病毒主要利用微軟SSL安全漏洞進行攻擊。微軟證書服務中使用的PCT(Private Communication Technology)協議在處理客戶端請求的時候存在一個遠程緩沖區溢出漏洞,該協議是基於Microsoft IIS 5 WEB平臺的Microsoft SSL(Secure Sockets Layer)庫的實現。
生成病毒文件
  病毒運行後,在%Windows%目錄下生成自身的拷貝,名稱為avserve.exe,avserve2.exe等,文件長度為15872字節,和在%System%目錄下生成其它病毒文件
例如:
c:\win.log : IP地址列表
c:\WINNT\avserve.exe : 蠕蟲病毒文件本身
c:\WINNT\system32\11113_up.exe : 可能生成的蠕蟲文件本身
c:\WINNT\system32\16843_up.exe : 可能生成的蠕蟲文件本身
修改註冊表項
  病毒創建註冊表項,使得自身能夠在系統啟動時自動運行,在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下創建
“avserve”=”c:\WINNT\avserve.exe”
通過系統漏洞主動進行傳播
  病毒主動進行掃描,當發現網絡中存在微軟SSL安全漏洞時,進行攻擊,然後在受攻擊的系統中生成名為cmd.ftp的ftp腳本程序,通過TCP端口5554下載蠕蟲病毒。

  如何防范“震蕩波”

  首先,用戶必須迅速下載微軟補丁程序,作為對於該病毒的防范。

  如何處理“震蕩波”

  第三方工具

  金山或者瑞星用戶迅速升級殺毒軟件到最新版本,然後打開個人防火墻,將安全等級設置為中、高級,封堵病毒對該端口的攻擊。非金山或者瑞星和360用戶迅速下載專殺工具。

  如果用戶已經被該病毒感染,首先應該立刻斷網,手工刪除該病毒文件,然後上網下載補丁程序,並升級殺毒軟件或者下載專殺工具。手工刪除方法:查找C:\WINDOWS目錄下產生名為avserve.exe的病毒文件,將其刪除。

  手工清理

  1、斷網打補丁

  如果不給系統打上相應的漏洞補丁,則連網後依然會遭受到該病毒的攻擊,用戶應該先到微軟網站下載相應的漏洞補丁程序 ,然後斷開網絡,運行補丁程序,當補丁安裝完成後再上網。

  2、清除內存中的病毒進程

  要想徹底清除該病毒,應該先清除內存中的病毒進程,用戶可以按CTRL+SHIFT+ESC三鍵或者右鍵單擊任務欄,在彈出菜單中選擇“任務管理器”打開任務管理器界面,然後在內存中查找名為“avserve.exe”的進程,找到後直接將它結束。

  3、刪除病毒文件

  病毒感染系統時會在系統安裝目錄(默認為C:\WINNT)下產生一個名為avserve.exe的病毒文件,並在系統目錄下(默認為C:\WINNT\System32)生成一些名為《隨機字符串》_UP.exe的病毒文件,用戶可以查找這些文件,找到後刪除,如果系統提示刪除文件失敗,則用戶需要到安全模式下或DOS系統下刪除這些文件。

  4、刪除註冊表鍵值

  該病毒會在電腦註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項中建立名為“avserve.exe”,內容為:“%WINDOWS%\avserve.exe”的病毒鍵值,為瞭防止病毒下次系統啟動時自動運行,用戶應該將該鍵值刪除,方法是在“運行”菜單中鍵入“REGEDIT” 然後調出註冊表編輯器,找到該病毒鍵值,然後直接刪除。

以上就是關於震蕩波病毒的一些相關信息瞭,雖然很多用戶已經在使用更高級版本的windows操作系統,不過對於WinXP使用大國中國來說,該病毒還是需要防范的。

返回顶部