一、病毒评估
1.病毒中文名:震荡波
2.病毒英文名:Worm.Sasser
3.病毒大小:15,872字节
4.病毒类型:蠕虫病毒
5.病毒危险等级:★★★★★
6.病毒传播途径:网络
7.病毒依赖系统:Windows NT/2000/XP
二.病毒的破坏行为:
1.首先拷贝自身到windows目录,名为%WINDOWS%/avserve.exe(15,872字节),然后登记到自启动项。 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run avserve.exe = %WINDOWS%/avserve.exe
2.开辟线程,在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。
3. 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。
病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞,该病毒在网络上传播迅速,造成网络瘫痪.中毒的系统运行缓慢,同时系统运行中极有可能出现如定时关机、非法操作等异常。
三、解决方法:
这是一个类似冲击波的病毒,利用微软操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。受感染的操作系统有:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
官方补丁下载:
http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx