Blue Mask

今天电脑中毒叻，sigh～～～ 弄了半天，也不知道好不好，逼得懒散的我也去装了防火墙。影响速度啊，55555555 发信人: kyo (逃兵·抽蘇煙喝黃酒吃雙鳳爊雞啃肉鬆骨頭), 信区: Virus 标 题: [一级戒备]震荡波病毒变种(变种D)及解决方案 发信站: 四川大学蓝色星空站 (Tue May 4 11:24:12 2004), 转信 by kyo@bluesky 震荡波最新变种D W32.Sasser.D[symantec],W32/Sasser.worm.d[mcafee],WORM_SASSER.A [trendmicro],W32/Sasser-D[Sophos],WORM_SASSER.D[Trend],Win32.Sasser.D [Computer Associates],Worm.Win32.Sasser.d[Kaspersky] 该病毒利用微软安全公告MS04-011中所述的LSASS漏洞. 通过扫描随机选取的ip地址来查找易感染系统进行传播. 该变种更新了查找易感染主机的程序.它在试图建立连接之前会发送一个ICMP echo请求.它的关联文件名和互斥体名称也有变化. W32.Sasser.D.Worm可以在Windows 95/98/Me系统上运行(但不会感染它们).虽然 这些操作系统不会被感染,但是它们可以被病毒用来感染其他易感染系统.因此也 会占用Windows 95/98/Me大量的系统资源,导致运行速度变慢. Type:Worm Infection Length:16,384 MD5 0X03F912899B3D90F9915D72FC9ABB91BE 影响系统:Windows 2000,Windows XP (注:Windows 95/98/Me不会被感染,但可被 用于传播该病毒) 不受影响系统:DOS,Linux,Macintosh,Microsoft IIS,Novell Netware,OS/2,UNIX,Windows 3.x,Windows 95,Windows 98,Windows Me,Windows NT,Windows Server 2003 技术细节: W32.Sasser.D一旦运行将执行以下操作: 1.在某些Windows 2000系统上,如果程序入口点IcmpSendEcho不能定位在动态链 接库iphlpapi.dll上,则该病毒将在运行任何代码之前退出. 2.试图创建名为SkynetSasserVersionWithPingFast的互斥体,如果失败则退出. 该过程确保在任意时间一台电脑上只能有一个病毒实例在运行. 3.试图创建名为Jobaka3的互斥体,但没有明显的作用. 4.在某些2000系统上会在运行代码之前报错退出. 5.复制自己到%Windir%skynetave.exe.(%Windir%默认为C:Windows or C:Winnt) 6.添加"skynetave.exe"="%Windir%skynetave.exe"键值到主键 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下. 7.试图连接随机ip地址的TCP445端口.如果连接成功,病毒将发送shellcode到目 标主机,将导致目标主机在TCP9995端口运行一个远程shell. 8.病毒远程发送一个命令来生成一个FTP脚本文件CMD.FTP,接着该脚本在远程 shell上运行,在被感染系统上打开端口为5554的FTP服务.随后被感染主机通过端 口5554从源主机下载一个病毒拷贝.该拷贝的名字由4或5个数字后跟_up.exe(例 如74354_up.exe). 9.下载完成后,它删除CMD.FTP文件.并在根目录生成一个日志文件WIN2.LOG.该文 件包含本机感染的远程主机数量和最后感染系统的ip地址. 该病毒创建1024个线程来生成随机目标ip地址.但是它会略过以下RFC 1918- reserved地址: 127.0.0.1 10.x.x.x 172.[16-31].x.x 192.168.x.x 169.254.x.x 安全建议: 1.关闭或移除不需要的服务.例如FTP服务器,telnet和Web服务器,都可能被病毒 利用来攻击你的电脑. 2.如果病毒利用一个或多个网络服务,则禁用或禁止访问这些服务直至补丁出现. 3.始终保证你的系统安装了最新的补丁,特别是当你的电脑是服务器时. 4.增强系统密码,尽量使用复杂的密码. 查毒步骤: 1.终止病毒进程 Windows NT/2000/XP中,按Ctrl+Alt+Delete,点击任务管理器,选择进程标签,双 击映像名称列来让进程按字母排序. 查找以下进程:avserve2.exe *****_up.exe(*****为4或5位数,例如 74354_up.exe).如果发现则终止这些进程. 2.禁用系统还原(Windows XP) 如果你使用Windows XP,强烈建议你暂时关闭系统还原. (如果你确认已经杀掉了病毒,你可以重新启用系统还原功能) 3.安装微软补丁KB837001,KB828741,KB835732 (包含windows2000.xp.2003相关中英文关键更新) ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/ 微软补丁/ ftp://202.115.48.253/Sasser专区/微软补丁/ ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/微软补丁/ 或使用望江楼Windows在线更新,http://202.115.32.69/,具体操作见页面介绍. xp补丁安装过程中提示语言不同的问题,请前往病毒版查看[补丁与系统语言包不 同解决]一文,或在以上三个FTP的Sasser专区根目录下下载该文文档. 3.升级杀毒软件病毒库 如果你使用Norton,可在以从地址下载最新升级包 ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区 /Norton病毒库/ ftp://202.115.48.253/Sasser专区/Norton病毒库/ ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/Norton病毒库/m 其他杀毒软件病毒库暂无，请自行前往相关网站下载更新 4.下载专杀工具 ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/ 专杀/ ftp://202.115.48.253/Sasser专区/专杀/ ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/专杀/ 推荐下载使用诺顿的震荡波专杀,文件名为FxSasser.exe. 5.查杀病毒 启动专杀工具或杀毒软件,选择完整系统扫描进行查杀.如果任何文件被查处感染 了W32.Sasser.D病毒,删除之. 6.修改注册表(建议你在修改注册表之前备份一下) 开始-->运行-->regedit 选择HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主 键,在右侧的框中找到"skynetave.exe"="%Windir%skynetave.exe",删除之. by kyo@bluesky