震蕩波（Shockwave）是一種電腦病毒，為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同，也是通過(guò)微軟的最新LSASS漏洞進(jìn)行傳播。

基本介紹

綜述

沖擊波（Worm.Blaster）病毒是利用微軟公司在2003年7月21日公布的RPC漏洞進(jìn)行傳播的，只要是計(jì)算機(jī)上有RPC服務(wù)并且沒(méi)有打安全補(bǔ)丁的計(jì)算機(jī)都存在有RPC漏洞，具體涉及的操作系統(tǒng)是：Windows2000、XP、Server 2003。

該病毒感染系統(tǒng)后，會(huì)使計(jì)算機(jī)產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時(shí)會(huì)彈出RPC服務(wù)終止的對(duì)話框，并且系統(tǒng)反復(fù)重啟，不能收發(fā)郵件、不能正常復(fù)制文件、無(wú)法正常瀏覽網(wǎng)頁(yè)，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等。

病毒描述

病毒英文名：Worm.Sasser

病毒大?。?5,872字節(jié)

病毒類(lèi)型：蠕蟲(chóng)病毒

病毒危險(xiǎn)等級(jí)：★★★★★

病毒傳播途徑：網(wǎng)絡(luò)

病毒依賴(lài)系統(tǒng)：Windows 2000/XP

變種：Worm.Sasser.b/c/d/e/f

未受影響的系統(tǒng)：

Microsoft Windows 98

Microsoft Windows ME

Microsoft Windows NT 4.0

Microsoft Windows Vista

Microsoft Windows 8

Microsoft Windows 8.1

Microsoft Windows 10

破壞方式

在本地開(kāi)辟后門(mén)。監(jiān)聽(tīng)TCP 5554端口，做為FTP服務(wù)器等待遠(yuǎn)程控制命令。病毒以FTP的形式提供文件傳送。黑客可以通過(guò)這個(gè)端口偷竊用戶(hù)機(jī)器的文件和其他信息。病毒開(kāi)辟128個(gè)掃描線程。以本地IP地址為基礎(chǔ)，取隨機(jī)IP地址，瘋狂的試探連接445端口，試圖利用windows的LSASS中存在一個(gè)緩沖區(qū)溢出漏洞進(jìn)行攻擊，一旦攻擊成功會(huì)導(dǎo)致對(duì)方機(jī)器感染此病毒并進(jìn)行下一輪的傳播，攻擊失敗也會(huì)造成對(duì)方機(jī)器的緩沖區(qū)溢出，導(dǎo)致對(duì)方機(jī)器程序非法操作，以及系統(tǒng)異常等。

技術(shù)特征

1.感染系統(tǒng)為：Windows 2000、Windows Server 2003、Windows XP、Windows 7

2.利用微軟的漏洞：MS04-011；

3.病毒運(yùn)行后，將自身復(fù)制為%WinDir% apatch.exe

4.在注冊(cè)表啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建："napatch.exe" =%WinDir% apatch.exe；這樣，病毒在Windows啟動(dòng)時(shí)就得以運(yùn)行。

5.在TCP端口5554建立FTP服務(wù)，用以將自身傳播給其他計(jì)算機(jī)。

6.隨機(jī)在網(wǎng)絡(luò)上搜索機(jī)器，向遠(yuǎn)程計(jì)算機(jī)的445端口發(fā)送包含后門(mén)程序的非法數(shù)據(jù)，遠(yuǎn)程計(jì)算機(jī)如果存在MS04-011漏洞，將會(huì)自動(dòng)運(yùn)行后門(mén)程序，打開(kāi)后門(mén)端口9996。病毒利用后門(mén)端口9996，使得遠(yuǎn)程計(jì)算機(jī)連接病毒打開(kāi)的FTP端口5554，下載病毒體并運(yùn)行，從而遭到感染。

7.病毒還會(huì)利用漏洞攻擊LSASS.EXE進(jìn)程，被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會(huì)癱瘓，Windows系統(tǒng)將會(huì)有1分鐘倒計(jì)時(shí)關(guān)閉的提示。

8.病毒在C:win32.log中記錄其感染的計(jì)算機(jī)數(shù)目和IP地址。

發(fā)現(xiàn)清除

1.病毒運(yùn)行時(shí)會(huì)建立一個(gè)名為："BILLY"的互斥量，使病毒自身不重復(fù)進(jìn)入內(nèi)存，并且病毒在內(nèi)存中建立一個(gè)名為："msblast"的進(jìn)程，用戶(hù)可以用任務(wù)管理器將該病毒進(jìn)程終止。

2.病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為：%systemdir%msblast.exe，用戶(hù)可以手動(dòng)刪除該病毒文件。

注意：%Windir%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄，默認(rèn)是："C:Windows"或："c:Winnt"，也可以是用戶(hù)在安裝操作系統(tǒng)時(shí)指定的其它目錄。

3.病毒會(huì)修改注冊(cè)表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項(xiàng)，在其中加入："windows auto update"="msblast.exe"，進(jìn)行自啟動(dòng)，用戶(hù)可以手工清除該鍵值。

4.病毒體內(nèi)隱藏有一段文本信息：

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ? Stop making money and fix your software!!

5.當(dāng)病毒攻擊失敗時(shí)，可能會(huì)造成沒(méi)有打補(bǔ)丁的Windows系統(tǒng)RPC服務(wù)崩潰，Windows XP系統(tǒng)可能會(huì)自動(dòng)重啟計(jì)算機(jī)。該蠕蟲(chóng)不能成功攻擊Windows Server2003，但是可以造成Windows Server2003系統(tǒng)的RPC服務(wù)崩潰，默認(rèn)情況下是系統(tǒng)反復(fù)重啟。

6. 病毒檢測(cè)到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后，就會(huì)向微軟的更新站點(diǎn)"windowsupdate.com"發(fā)動(dòng)拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新站點(diǎn)無(wú)法為用戶(hù)提供服務(wù)。

手工清除

一、DOS環(huán)境下清除該病毒：

1.當(dāng)用戶(hù)中招出現(xiàn)以上現(xiàn)象后，用DOS系統(tǒng)啟動(dòng)盤(pán)啟動(dòng)進(jìn)入DOS環(huán)境下，進(jìn)入C盤(pán)的操作系統(tǒng)目錄.

操作命令集：

C:

CD C:windows (或CD　c:winnt)

2. 查找目錄中的"msblast.exe"病毒文件。

命令操作集：

dir msblast.exe /s/p

3.找到后進(jìn)入病毒所在的子目錄，然后直接將該病毒文件刪除。

Del msblast.exe

二、在安全模式下清除病毒

如果用戶(hù)手頭沒(méi)有DOS啟動(dòng)盤(pán)，還有一個(gè)方法，就是啟動(dòng)系統(tǒng)后進(jìn)入安全模式，然后搜索C盤(pán)，查找msblast.exe文件，找到后直接將該文件刪除，然后再次正常啟動(dòng)計(jì)算機(jī)即可。

給系統(tǒng)打補(bǔ)丁方案：

當(dāng)用戶(hù)手工清除了病毒體后，應(yīng)上網(wǎng)下載相應(yīng)的補(bǔ)丁程序，用戶(hù)可以先進(jìn)入微軟網(wǎng)站，下載相應(yīng)的系統(tǒng)補(bǔ)丁，給系統(tǒng)打上補(bǔ)丁。

防范方式

下載補(bǔ)丁

首先，用戶(hù)必須迅速下載微軟補(bǔ)丁程序，作為對(duì)于該病毒的防范。

專(zhuān)殺工具

金山或者瑞星用戶(hù)迅速升級(jí)殺毒軟件到最新版本，然后打開(kāi)個(gè)人防火墻，將安全等級(jí)設(shè)置為中、高級(jí)，封堵病毒對(duì)該端口的攻擊。非金山或者瑞星和360用戶(hù)迅速下載免費(fèi)的專(zhuān)殺工具。

手工刪除

如果用戶(hù)已經(jīng)被該病毒感染，首先應(yīng)該立刻斷網(wǎng)，手工刪除該病毒文件，然后上網(wǎng)下載補(bǔ)丁程序，并升級(jí)殺毒軟件或者下載專(zhuān)殺工具。手工刪除方法：查找C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將其刪除。

手工清理

斷網(wǎng)打補(bǔ)丁

如果不給系統(tǒng)打上相應(yīng)的漏洞補(bǔ)丁，則連網(wǎng)后依然會(huì)遭受到該病毒的攻擊，用戶(hù)應(yīng)該先到微軟網(wǎng)站下載相應(yīng)的漏洞補(bǔ)丁程序，然后斷開(kāi)網(wǎng)絡(luò)，運(yùn)行補(bǔ)丁程序，當(dāng)補(bǔ)丁安裝完成后再上網(wǎng)。

清除內(nèi)存中的病毒進(jìn)程

要想徹底清除該病毒，應(yīng)該先清除內(nèi)存中的病毒進(jìn)程，用戶(hù)可以按CTRL SHIFT ESC三鍵或者右鍵單擊任務(wù)欄，在彈出菜單中選擇“任務(wù)管理器”打開(kāi)任務(wù)管理器界面，然后在內(nèi)存中查找名為“avserve.exe”的進(jìn)程，找到后直接將它結(jié)束。

刪除病毒文件

病毒感染系統(tǒng)時(shí)會(huì)在系統(tǒng)安裝目錄（默認(rèn)為C:WINNT）下產(chǎn)生一個(gè)名為avserve.exe的病毒文件，并在系統(tǒng)目錄下(默認(rèn)為C:WINNTSystem32)生成一些名為<隨機(jī)字符串>_UP.exe的病毒文件，用戶(hù)可以查找這些文件，找到后刪除，如果系統(tǒng)提示刪除文件失敗，則用戶(hù)需要到安全模式下或DOS系統(tǒng)下刪除這些文件。

刪除注冊(cè)表鍵值

該病毒會(huì)在電腦注冊(cè)表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun項(xiàng)中建立名為“avserve.exe”，內(nèi)容為：“%WINDOWS%avserve.exe”的病毒鍵值，為了防止病毒下次系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，用戶(hù)應(yīng)該將該鍵值刪除，方法是在“運(yùn)行”菜單中鍵入“REGEDIT”然后調(diào)出注冊(cè)表編輯器，找到該病毒鍵值，然后直接刪除。