震荡波(Shockwave)是一种电脑病毒,为I-Worm/Sasser.a的第三方改造版本。
介绍:该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也为通过微软的最新LSASS漏洞进行传播,我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件,会显示出谴责美国大兵的英文语句。
具体技术特征如下:
1.感染系统为:Windows 2000、Windows Server 2003、Windows XP、Windows 7
2.利用微软的漏洞:MS04-011; 3.病毒运行后,将自身复制为%WinDir%napatch.exe
4.在注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下创建:"napatch.exe" = %WinDir%napatch.exe;这样,病毒在Windows启动时就得以运行。
5.在TCP端口5554建立FTP服务,用以将自身传播给其他计算机。
6.随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染。
7.病毒还会利用漏洞攻击LSASS.EXE进程,被攻击计算机的LSASS.EXE进程会瘫痪,Windows系统将会有1分钟倒计时关闭的提示。
8.病毒在C:win32.log中记录其感染的计算机数目和IP地址
如何防范“震荡波”
首先,用户必须迅速下载微软补丁程序,作为对于该病毒的防范。
金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。非金山或者瑞星和360用户迅速下载免费的专杀工具。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找C:WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。