|
|
| |
|
|
新浪:江民公布“震荡波”蠕虫病毒技术分析报告
|
|
www.jiangmin.com.cn
2004-5-2 15:47:38 作者: 信息出自:新浪
|
|
| |
|
病毒名称:I-Worm/Sasser (震荡波)
病毒类型:蠕虫病毒
蠕虫长度:15872字节
传播途径:通过互连网传播,但是不通过邮件传播.
传播利用的是微软的漏洞:MS04-011
2004年5月1日,江民反病毒中心截获I-Worm/Sasser (震荡波)网络蠕虫病毒,该病毒利用微软操作系统漏洞进行传播。
www.microsoft.com/technet/security/bulletin/MS04-011.mspx
特性:
(1)该蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播.
(2)该蠕虫用来传播的文件名称是:avserve.exe (大小是15872字节)
(3)该蠕虫不通过邮件等传统蠕虫利用的途径传播,它的传播不需要人为的干预,该蠕虫能自动
在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行.
(4)从TCP的1068端口开始搜寻可能的IP地址并试图传播.
(5)在TCP端口5554,建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本.该脚本能自动引导
被感染的机器下载执行蠕虫程序.所有这些操作的进行都是通过TCP端口5554进行的.
文件特征:
c:\win.log : IP地址列表
c:\windows\avserve.exe :蠕虫病毒文件本身
c:\WINDOWS\system32\11113_up.exe :可能生成的蠕虫文件本身
c:\WINDOWS\system32\16843_up.exe :可能生成的蠕虫文件本身
注册表特征:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe" = C:\WINDOWS\avserve.exe
该特征是为了保证该蠕虫能随系统启动自动运行.
系统副作用:感染的系统可能重新启动机器;原因是该蠕虫可能导致系统文件LSASS.EXE的崩溃.
这是计算机用户除了通过文件查看是否感染外的最直接的表现形式.从某种意义上说:该病毒有的类似
I-Worm/Blaster冲击波病毒的破坏表现形式.
江民KV系列用户处理对策:
(1)安装系统补丁程序:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
(2)利用江民黑客防火墙关闭TCP端口5554;
(3)利用江民黑客防火墙关闭TCP端口1068;
(4)升级江民杀毒软件KV2004到最新版到2004年5月1日的病毒库,来全盘搜索整个系统.
(5)删除病毒增加的注册表键值.
(6)开启KV2004的各项监视开关来预防病毒的入侵.
针对该病毒,江民公司已经在第一时间升级了病毒库。请您及时升级,即可全面查杀该病毒,保护您的系统不受其侵害。
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
