首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 点卡 天气 答疑 交友 导航
新浪首页 > 科技时代 > 滚动新闻 > 2004病毒警报专题 > 正文

瑞星:震荡波病毒变种D技术分析报告

http://www.sina.com.cn 2004年05月04日 22:35 新浪科技

  病毒名:Worm.Sasser.d

  病毒别名:震荡波.D

  行为类型:WINDOWS下的蠕虫程序

  概要:

  此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性。并开辟128个线程扫描网络。

  详细分析:

  一、这是一个类似冲击波的病毒,利用微软操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。

  受感染的操作系统有:

  Microsoft Windows NT Workstation 4.0 Service Pack 6a

  Microsoft Windows NT Server 4.0 Service Pack 6a

  Microsoft Windows NT Server 4.0终端服务器版Service Pack 6

  Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3,和Microsoft Windows 2000 Service Pack 4

  Microsoft Windows XP和Microsoft Windows XP Service Pack 1

  Microsoft Windows XP 64-Bit Edition Service Pack 1

  Microsoft Windows XP 64-Bit Edition Version 2003

  Microsoft Windows Server 2003

  Microsoft Windows Server 2003 64-Bit Edition

  二、病毒的破坏行为:

  1.首先拷贝自身到windows目录,名为%WINDOWS%\skynetave.exe(16384字节),然后登记到自启动项。

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  skynetave.exe = %WINDOWS%\skynetave.exe

  2.开辟线程,在本地开辟后门。监听TCP 5554端口(支持USER、PASS、PORT、RETR和QUIT命令)

  被攻击的机器主动连接本地5554端口,把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。

  3.病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,

  如果试探成功,则运行一个新的病毒进程对该目标进行攻击,把该目标的ip地址保存到“c:\win2.log”。

  4.利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染

  此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出,可以获取管理员的权限,执行任意指令。

  5.溢出代码会主动从原机器下载病毒程序,运行起来,开始新的攻击。

  三、危害:

  病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞,该病毒在网络上传播迅速,造成网络瘫痪。

  四、清除方法:

  请用户立即给计算机打最新的补丁:

  www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

  打补丁需要重新启动,如果机器不能重新启动(比如核心网络服务器),

  可以下载瑞星的内存专杀(全球独家提供),下载地址download.rising.com.cn/zsgj/RavSasser.exe

  手动清除:

  (1)打开注册表编辑器,删除如下键值<如果存在的话>:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  "skynetave.exe" = "%WINDOWS%\skynetave.exe"

  (2)打开任务管理器查看是否存在进程名为: skynetave.exe,终止它

  (3)删除%WINDOWS%\skynetave.exe

  注:%WINDOWS%是指系统的windows目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS, Win2K下默认为:C:\WINNT。


评论】【推荐】【 】【打印】【关闭
 

 
新 闻 查 询
关键词一
关键词二
 

 发表评论: 匿名发表 新浪会员代号:  密码:
 



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2004 SINA Inc. All Rights Reserved

版权所有 新浪网