论坛 › #301 / 亂講 › 各位同学注意了~~ 新病毒来了！！！

群青 发表于 2004-5-2 15:21:37

各位同学注意了~~ 新病毒来了！！！

我从昨晚开始中招... 频繁重启...比冲击波害厉害...惨~~~
:dull::dull::dull:


“震荡波”（Worm_Sasser）最新动态

　
   国家计算机病毒应急处理中心通过对互联网的监测，于2004年5月1日发现一种利用微软近期公布漏洞的新蠕虫病毒，我们将其命名为“震荡波”蠕虫病毒，并已接到江苏、宁夏、山西、四川、天津、北京、黑龙江、辽宁和广东等地区用户报告。
   目前国家计算机病毒应急处理中心已经将发现的病毒样本通知各防病毒厂家，截止到5月1日21：00，我们已经接到北京江民公司、金山软件公司、趋势科技公司和北京瑞星公司的反馈。这些公司已经升级各自防病毒产品，并根据国家计算机病毒应急处理中心的部署，监测“震荡波”病毒的发展动态。同时提醒广大计算机用户注意监测其变种出现，一旦发现请立即与国家计算机病毒应急处理中心取得联系。请我国计算机用户落实病毒防范的措施，保证“五一”假期后我国计算机网络和系统的安全。
相关链接：

http://www.jiangmin.com/exec/news_sys/news/jiangmin
/index/important/200451153323.htm

http://www.duba.net/c/2004/05/01/111500.shtml

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

http://www.rising.com.cn/2004tp/virusinfonews_20040501.html

群青 发表于 2004-5-2 15:46:42

特性:
(1)该蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播.
(2)该蠕虫用来传播的文件名称是:avserve.exe (大小是15872字节)
(3)该蠕虫不通过邮件等传统蠕虫利用的途径传播,它的传播不需要人为的干预,该蠕虫能自动
在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行.
(4)从TCP的1068端口开始搜寻可能的IP地址并试图传播.
(5)在TCP端口5554,建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本.该脚本能自动引导
被感染的机器下载执行蠕虫程序.所有这些操作的进行都是通过TCP端口5554进行的.


文件特征:
c:\win.log: IP地址列表
c:\windows\avserve.exe: 蠕虫病毒文件本身
c:\WINDOWS\system32\11113_up.exe : 可能生成的蠕虫文件本身
c:\WINDOWS\system32\16843_up.exe : 可能生成的蠕虫文件本身

注册表特征:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe" = C:\WINDOWS\avserve.exe
该特征是为了保证该蠕虫能随系统启动自动运行.

系统副作用:感染的系统可能重新启动机器;原因是该蠕虫可能导致系统文件LSASS.EXE的崩溃.
这是计算机用户除了通过文件查看是否感染外的最直接的表现形式.从某种意义上说:该病毒有的类似
I-Worm/Blaster冲击波病毒的破坏表现形式.



江民科技用户处理对策:
(1)安装系统补丁程序:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
(2)利用江民黑客防火墙关闭TCP端口5554;
(3)利用江民黑客防火墙关闭TCP端口1068;
(4)升级江民杀毒软件KV2004到最新版到2004年5月1日的病毒库,来全盘搜索整个系统.
(5)删除病毒增加的注册表键值.
(6)开启KV2004的各项监视开关来预防病毒的入侵.

闲人散客 发表于 2004-5-2 15:55:10

“震荡波”？？
。。。。。。。。。。。。。。。。。。
冲击波。。。。。。。。。。。。。
神龟冲击波。。。。。。。。。。。
脑电波。。。。。。。。。。。。。

群青 发表于 2004-5-2 16:01:18

终于干掉了 ~~~ yeah~~~ 庆祝一下...

皓矾 发表于 2004-5-2 16:33:57

何谓
(1)该蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播.
？？
我从30号就没关过机 不也没事

饕餮 发表于 2004-5-2 18:30:41

龟功波。

taba 发表于 2004-5-2 18:35:00

这还是好杀的
像wuapd.exe这种会加为服务，还会杀防毒软件的
甚至还有其他的
能在运行过程中就替换系统文件，甚至是使用中的内核文件
那才是高手

三千个钉子 发表于 2004-5-2 21:04:57

http://www.lenovo.com/about/news/legend4136.shtml

联想网站的解决方案

ryan 发表于 2004-5-2 21:25:07

杀手桃白白的咚咚波！

Brown_Eyes 发表于 2004-5-3 11:17:04

如果大家坚持使用XP的更新的话
这些补丁都会自己打好的
:)

dachy 发表于 2004-5-3 18:23:31

不见得，我也是标准WU狂，每次新装XP第一件事就是WU一遍，连驱动也不放过。
几次应对大病毒的紧急security updates从来没在Windows Update里出现，最起码Blaster就没有。似乎本来进入WU的security updates是有一个选择标准的。
有些漏洞就算是早在病毒出现前就发布叫补上，但都是“广告力不足地”发布，直到出事才大呼晚了。

Brown_Eyes 发表于 2004-5-3 22:47:43

不会啊
啊青 这次给的补丁
我一个星期前就UPDATE好了

查看完整版本: 各位同学注意了~~ 新病毒来了！！！