Blue Mask

女孩子遇到病毒也要自力救济，奋勇杀毒啊～～～～～～～，经过偶的浴血奋战，终于搞定它，哇哈哈，特别提醒大家注意。 [一级警报]病毒W32.Sasser.Worm爆发 病毒W32.Sasser.Worm(SYMANTEC),W32/Sasser.worm [McAfee] ,中文名振荡波 目前出现W32.Sasser.Worm的变种W32.Sasser.B.Worm和W32.Sasser.C.Worm 该病毒传播速度很快,破坏程度可能超过"冲击波". Type:Worm Infection Length:15,872 bytes 影响系统:Windows 2000,Windows Server 2003,Windows XP 不受影响系统:Linux,Macintosh,Novell Netware,OS/2,UNIX,Windows 95,Win dows 98,Windows Me,Windows NT W32.Sasser.Worm是一种使用微软MS04-011漏洞的蠕虫,它通过随机扫描IP 地址查找易受攻击的系统进行传播. 一旦W32.Sasser.Worm运行或其变种运行 1.它将创建一个名为Jobaka3l(W32.Sasser.B.Worm和W32.Sasser.C.Worm则为Jobaka3)的互 斥体(如果创建失败则退出)，该过程确保在任意时间在一台电脑上只有一个worm实例运行。 2.复制自己到%Windir%avserve.exe(W32.Sasser.B.Worm和W32.Sasser.C.Worm则为 %Windir%avserve2.exe)(%Windir%默认为C:Windows or C:Winnt) 3.将以下键值"avserve.exe"="%Windir%avserve.exe"添加到HKEY_LOC AL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,(W32.Sasser.B.Worm和W32.Sasser.C.Worm则将"avserve2.exe"="%Windir%avserve2.exe"添加到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下),因此该蠕虫会开机后自动启动 4.使用AbortSystemShutdown API来关闭或重启电脑. 5.开启端口为5554的FTP服务器。该FTP用于传播蠕虫到其他主机。 6.试图连接到随机ip地址的TCP端口445。如果连接成功，它将发送shellc ode到目标主机，可能导致该电脑在TCP端口9996运行一个远程shell。蠕虫将利用这个she ll让目标主机连接到本机5554端口的FTP并下载一个蠕虫副本。该副本的名字由4或5个数字 后跟_up.exe(例如74354_up.exe,数字为４位或５位数). 7.在C盘根目录下创建C:win.log(用以记录本地主机的IP地址) 8.监听以1068起始的TCP端口 附:蠕虫搜索的IP地址分布如下: 1.50%完全随机 2.25%与被感染主机ip地址的前八个字节相同. 3.25%与被感染主机ip地址的前16个字节相同.(因此传播速度可想而知) 该蠕虫启动128个线程来扫描随机ip地址.这将占用大量系统资源,因此被感染电脑运行速度 极慢. 9.出现LSA Shell错误,导致系统进程lsass.exe错误，并进而导致计算机强 迫重启. 10.修改管理员权限帐户口令(暂未证实) 主要症状: 1.出现LSA Shell错误. 2.lsass.exe错误退出,系统被迫重启. 3.系统明显变慢 4.进程中出现avserve.exe(W32.Sasser.B.Worm和W32.Sasser.C.Worm则为avserve2.exe)和 *****_up.exe(*****为4位或5位数) 应对措施: 1.安装微软的安全更新KB837001,KB828741,KB835732 (包含windows2000.xp.2003相关中英文关键更新) ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区 /微软补丁/ ftp://202.115.48.253/Sasser专区/微软补丁/ ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/微软补丁/ xp补丁安装过程中提示语言不同的问题,请前往病毒版查看[补丁与系统语言包不同解决] 一文,或在以上三个FTP的Sasser专区根目录下下载该文文档. 2.升级病毒库 norton ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区 /Norton病毒库/ ftp://202.115.48.253/Sasser专区/Norton病毒库/ ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/Norton病毒库/m 其他杀毒软件病毒库暂无，请自行前往相关网站下载更新 3.专杀工具 ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区 /专杀/ ftp://202.115.48.253/Sasser专区/专杀/ ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/专杀/ 4.安装防火墙 在防火墙阻断以下端口:UDP135,137,138和445端口,TCP135,139,445和593端口,在大于1024的端口阻断所有没有请求的流入通讯任何其他特别配置的RPC端口,在支持高级TCP/IP过滤 特性的系统上启用这个特性,在受影响系统上使用IPSec阻断受影响的端口.(如已安装微软 安全更新则无需进行此操作) 如已经感染: 如为windows xp,则先关闭系统还原功能. 断开网络进行以下操作. 一windows下清除 推荐在windows安全模式下进行 1.在任务管理器中终止avserve.exe进程.(W32.Sasser.B.Worm和W32.Sasser.C.Worm则为avserve2.exe) 2.进入系统安装目录(Winnt或windows),查找文件avserve.exe(W32.Sasser.B.Worm和 W32.Sasser.C.Worm则为avserve2.exe),删除;进入系统目录(Winntsystem32或windowssystem32),查找文件*_up.exe(W32.Sasser.B.Worm和W32.Sasser.C.Worm则为avserve2.exe),删 除.最好以avserve或_up为关键字分别搜索.exe和.pf文件,删除之. 3.打开注册表(开始>运行>REGEDIT),选择HKEY_LOCAL_MACHINESOFTWAREMicro softWindowsCurrentVersionRun主键,找到并删除以下键值 "avserve.exe" = %SystemRoot%avserve.exe W32.Sasser.B.Worm和W32.Sasser.C.Worm则将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun主键下的"avserve2.exe"="%Windir%avserve2.exe"键值删除. 二DOS模式 1.使用未染毒的启动盘进入纯DOS,进入系统目录(Winnt或windows) 2.运行以下命令 C:windowssystem32>del *_up.exe C:windowssystem32>cd.. C:windows>del avserve.exe(W32.Sasser.B.Worm和W32.Sasser.C.Worm则为avserve2.exe) 如无法删除,则先运行attrib -s -h -r 路径文件名 来修改文件属性,再删除. 完成后重启,并进入windows,编辑注册表如前所述. 也可以使用其他OS(非windows)进行删除 如有相关问题请前往电脑病毒版(Virus)咨询.