用户需防震荡波变种E和震荡波清除者病毒

发表于:2007-05-25来源:作者:点击数: 标签:用户清除需防震荡病毒
计算机 病毒 “震荡波”出现后,近期又出现了“震荡波”变种E和“震荡波清除者” 病毒 。国家 计算机 病毒 应急处理中心16日发布了这两个 病毒 的 技术 报告,提醒广大用户要及时采取相关措施。 病毒 名称:“震荡波清除者”(Worm _ Cycle.A) 感染系统:Win2
计算机病毒“震荡波”出现后,近期又出现了“震荡波”变种E和“震荡波清除者”病毒。国家计算机病毒应急处理中心16日发布了这两个病毒技术报告,提醒广大用户要及时采取相关措施。

  病毒名称:“震荡波清除者”(Worm_Cycle.A)

  感染系统:Win2000/WinXP/Win2003/Win NT 4.0

  病毒特征:

  1、生成病毒文件

  病毒在%system%目录下生成自身的拷svchost.exe,还在%Windows%目录下生成文件cyclone.txt。

  2、修改注册表

  病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建“Generic Host Service”=“%%system%\svchost.exe”HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建“Generic Host Service”=“%system%\svchost.exe”

  3、通过系统漏洞主动进行传播

  病毒在TCP/3332端口开启后门服务,接受连接,在UDP/69端口上运行一个TFTP服务下载蠕虫副本。病毒对外连接随机产生主机的TCP/445端口,去感染其他的主机。

  4、终止进程

  病毒会终止以下进程,msblast.exe、avserve.exe、avserve2.exe和skynetave.exe,这些进程是"冲击波"、"震荡波"病毒及他们的变种创建的。

  5、发动DoS攻击

  当系统时间为5月18日,病毒将对网站www.irna.com和www.bbcnews.com发动DoS攻击

  病毒名称:“震荡波”变种E(Worm_Sasser.E)

  感染系统:Win2000/WinXP

  病毒特征:

  1、生成病毒文件

  病毒运行后,在%System%目录下生成自身的拷贝,名称为LSASSS.EXE。

  2、修改注册表

  病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建“LSASSS.EXE”= %System%\LSASSS.EXE

  3、通过系统漏洞主动进行传播

  病毒通过在已被感染的机器上开启TCP端口1023建立一个FTP服务器(机器A),用来作为感染其它机器的服务器。并通过TCP445端口扫描随机的IP,当发现存在漏洞的系统连接成功时,被感染的计算机(机器A)向连接成功的机器(机器B)发动攻击,被攻击计算机(机器B)将会自动连接已被感染计算机(机器A)的1023端口并通过FTP下载蠕虫的拷贝。数据包会运行一个可打开1022端口的远程壳。

  4、危害性

  受感染的系统可能会出现倒计时对话框,频繁重新启动,系统运行速度明显减慢或死机,上网只能持续很短时间就无法浏览甚至断网等现象。病毒会对网络性能有一定影响,尤其局域网可能造成网络瘫痪。

  清除该病毒的相关建议:

  1、安全模式启动

  重新启动系统同时按下按F8键,进入系统安全模式

  2、注册表的恢复点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,并删除右侧面板中的"LSASSS.EXE" = %SystemRoot%\LSASSS.EXE

  3、删除病毒释放的文件

  点击“开始--〉查找--〉文件和文件夹”,查找文件“LSASSS.EXE”,并将找到的文件删除。

  4、安装系统补丁程序

  到以下微软网站下载安装补丁程序:_blank>www.microsoft.com/technet/security/bulletin/MS 04-011.mspx,或者在IE浏览器的工具->Windows Update升级系统。

  5、重新配置防火墙

  重新配置边界防火墙或个人防火墙,关闭TCP端口1022和1023。(完)

原文转自:http://www.ltesting.net