以下的文章主要向大家讲述的是安全知识堂之“震荡波”的蠕虫病毒,众所周知2004年一个叫“震荡波”的蠕虫病毒席卷了全世界,导致数千万的电脑瘫痪,数亿的财产在这次浩劫中付诸东流。
2004年的“毒王”宝座最终被“震荡波”病毒夺得。2004年“五一”期间及其后的短短的十几天内,一个叫“震荡波”的蠕虫病毒席卷了全世界,数千万的电脑瘫痪,数亿的财产在这次浩劫中付诸东流。“震荡波”一夜之间成为家喻户晓的病毒,至今许多电脑用户仍心有余悸,其毒性之大,造成后果之严重堪称2004年之最。
“震荡波”病毒自2004年5月1日首次被截获以来,短短几天席卷全球,12天之内接连出现6个变种。“震荡波”由18岁的德国少年斯文·扬森编写,该病毒跟2003年的“冲击波”病毒非常类似,同属于的网络蠕虫,感染Windows 2000、Windows Server 2003、Windows XP系统,它是利用微软的MS04-011漏洞,通过互联网进行传播,但不通过邮件传播。蠕虫能自动在网络上搜索含有漏洞的系统,在含有漏洞的系统的TCP端口5554建立FTP文件 服务器 ,自动创建FTP脚本文件,并运行该脚本,该脚本能自动引导被感染的机器下载执行蠕虫程序,用户一旦感染后,病毒将从TCP的1068端口开始搜寻可能传播的IP地址,系统将开启上百个线程去攻击他人,造成计算机运行异常缓慢、网络不畅通,并让系统不停重新启动。
该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播,我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件,会显示出谴责美国大兵的英文语句。
具体技术特征如下:
1.感染系统为:Windows 2000、Windows Server 2003、Windows XP
2.利用微软的漏洞:MS04-011;补丁下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
3.病毒运行后,将自身复制为%WinDir%\napatch.exe
4.在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:”napatch.exe” = %WinDir%\napatch.exe;这样,病毒在Windows启动时就得以运行。
5.在TCP端口5554建立FTP服务,用以将自身传播给其他计算机。
6.随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染。
7.病毒还会利用漏洞攻击LSASS.EXE进程,被攻击计算机的LSASS.EXE进程会瘫痪,Windows系统将会有1分钟倒计时关闭的提示。
8.病毒在C:\win2.log中记录其感染的计算机数目和IP地址
如何防范“震荡波”
首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,。
金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。
非金山或者瑞星用户迅速下载免费的专杀工具,下载地址为:。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。上述的相关内容就是对安全知识堂之“震荡波”的蠕虫病毒的描述,希望会给你带来一些帮助在此方面。
【编辑推荐】
蠕虫是种怎样的病毒?
网络中所谓的蠕虫(Worm)指计算机病毒中的蠕虫病毒。 蠕虫病毒是一种常见的计算机病毒。 它的传染机理是利用网络进行复制和传播,传染途径是通过网络、电子邮件以及优盘、移动硬盘等移动存储设备。 比如去年以来危害及大的“熊猫烧香”病毒就是蠕虫病毒的一种。 蠕虫程序主要利用系统漏洞进行传播。 它通过网络、电子邮件和其它的传播方式,象生物蠕虫一样从一台计算机传染到另一台计算机。 因为蠕虫使用多种方式进行传播,所以蠕虫程序的传播速度是非常大的。 蠕虫侵入一台计算机后,首先获取其他计算机的IP地址,然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。 虽然有的蠕虫程序也在被感染的计算机中生成文件,但一般情况下,蠕虫程序只占用内存资源而不占用其它资源。 蠕虫病毒与一般病毒的异同:蠕虫也是一种病毒,因此具有病毒的共同特征。 一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,Windows下可执行文件的格式为PE格式(Portable Executable),当需要感染pe文件时,在宿主程序中,建立一个新段,将病毒代码写到新段中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。 可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。 引导区病毒他是感染磁盘的引导区,如果是软盘、U盘(闪存盘)、移动硬盘等被感染,这张受感染的盘用在其他机器上后,同样也会感染其他机器,所以传播方式也可以是移动存储设备。 蠕虫一般不采取利用PE格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件EMail,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。 网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!蠕虫病毒的工作模式:蠕虫病毒由两部分组成:一个主程序和一个引导程序。 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。 它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。 随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。 蠕虫病毒程序常驻于一台或多台机器中,并有自动重新定位(autoRelocation)的能力。 如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。 每个程序段都能把自身的拷贝重新定位于另一台机器中,并且能识别它占用的哪台机器。 蠕虫历史:1982年,Shock和Hupp根据The Shockwave Rider一书中的一种概念提出了一种“蠕虫”(Worm)程序的思想。 蠕虫程序可用作为Ethernet(以太网)网络设备的一种诊断工具,它能快速有效地检测网络。 蠕虫病毒防治方法:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开、运行不明来源的文件。
蠕虫和普通病毒的区别 以及对蠕虫病毒的防范措施
可以安装一些杀毒软件在电脑上如电脑管家一类的,然后一直保持开启这样就可以预防病毒进入到电脑当中了
蠕虫病毒的表现形式及其如何杀毒?
代尔夫蠕虫变种FS表现形式为这是一个可以在Win9X/2000/XP等操作系统上运行的蠕虫病毒。 病毒运行之后,会自动从网站上下载其它盗号木马,窃取用户的隐私文件。 同时,该病毒还会下载WinPcap等工具软件来对局域网发动arp攻击,使其它用户在浏览网页时自动加入一个名为hxxp://恶意网址。 用户的计算机访问该网址后会自动下载病毒并运行。 防御方法1、由于该病毒利用ANI等系统漏洞进行传播,用户可使用漏洞扫描工具检测系统中存在的漏洞,并及时安装补丁程序。 2、个人用户请升级杀毒软件到最新版本,企业网络管理员建议将hxxp://网址屏蔽。 3、由于该病毒采用ARP方式对局域网进行攻击,若发现局域网中存在该病毒,必须使用网络版杀毒软件进行全网杀毒。
发表评论