感染系统:Win2000/WinXP/Win2003/Win NT 4.0
病毒特征:
1、生成病毒文件
病毒在%system%目录下生成自身的拷svchost.exe,还在%Windows%目录下生成文件cyclone.txt。
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建“Generic Host Service”=“%%system%\svchost.exe”HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建“Generic Host Service”=“%system%\svchost.exe”
3、通过系统漏洞主动进行传播
病毒在TCP/3332端口开启后门服务,接受连接,在UDP/69端口上运行一个TFTP服务器下载蠕虫副本。病毒对外连接随机产生主机的TCP/445端口,去感染其他的主机。
4、终止进程
病毒会终止以下进程,msblast.exe、avserve.exe、avserve2.exe和skynetave.exe,这些进程是"冲击波"、"震荡波"病毒及他们的变种创建的。
5、发动DoS攻击
当系统时间为5月18日,病毒将对网站www.irna.com和www.bbcnews.com发动DoS攻击。
感染系统:Win2000/WinXP
病毒特征:
1、生成病毒文件
病毒运行后,在%System%目录下生成自身的拷贝,名称为LSASSS.EXE。
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建“LSASSS.EXE”= %System%\LSASSS.EXE
3、通过系统漏洞主动进行传播
病毒通过在已被感染的机器上开启TCP端口1023建立一个FTP服务器(机器A),用来作为感染其它机器的服务器。并通过TCP445端口扫描随机的IP,当发现存在漏洞的系统连接成功时,被感染的计算机(机器A)向连接成功的机器(机器B)发动攻击,被攻击的计算机(机器B)将会自动连接已被感染计算机(机器A)的1023端口并通过FTP下载蠕虫的拷贝。数据包会运行一个可打开1022端口的远程壳。
4、危害性
受感染的系统可能会出现倒计时对话框,频繁重新启动,系统运行速度明显减慢或死机,上网只能持续很短时间就无法浏览甚至断网等现象。病毒会对网络性能有一定影响,尤其局域网可能造成网络瘫痪。
清除该病毒的相关建议:
1、安全模式启动
重新启动系统同时按下按F8键,进入系统安全模式
2、注册表的恢复点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,并删除右侧面板中的"LSASSS.EXE" = %SystemRoot%\LSASSS.EXE
3、删除病毒释放的文件
点击“开始--〉查找--〉文件和文件夹”,查找文件“LSASSS.EXE”,并将找到的文件删除。
4、安装系统补丁程序
到以下微软网站下载安装补丁程序:_blank>www.microsoft.com/technet/security/bulletin/MS 04-011.mspx,或者在IE浏览器的工具->Windows Update升级系统。
5、重新配置防火墙
重新配置边界防火墙或个人防火墙,关闭TCP端口1022和1023。(完)