“震荡波”变种F病毒【“震荡波”变种F病毒】蠕虫病毒 , 利用WINDOWS平台的Lsass漏洞进行广泛传播 , 开启上百个执行绪不停攻击其它网上其它系统 。
病毒信息:病毒名称: Worm.Sasser.f中文名称: 震荡波变种 E病毒长度: 74,752 位元组威胁级别: 3A病毒类型: 蠕虫病毒别名: W32.Sasser.f.Worm[Symantec]受影响系统: Windows 2000, Windows XP, Windows 2003· 堵塞网路 。病毒的攻击行为可让系统不停的倒计时重启;· 和最近出现的大部分蠕虫病毒不同 , 该病毒并不通过邮件传播 , 而是通过命令易受感染的机器下载特定档案并运行 , 来达到感染的目的 。传染条件:该自运行的蠕虫通过使用 Windows 的一个漏洞来传播 [MS04-011 vulnerability(CAN-2003-0907)]系统修改:A 、将自身複製到 %SystemRoot%\\\\napatch.exe ( 通常为 C:\\\\WinNT\\\\ 或 C:\\\\Windows)B 、在注册表主键:HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run下添加如下键值 :"napatch.exe" = %SystemRoot%\\\\napatch.exeB 、拷贝其本身至系统目录:%System%\\\\<5 位随机数字 >_up.exeC 、在 C 盘根目录创建以下档案:C:\\\\win2.log( 该档案用以记录本地主机的 IP 地址 )D 、使用 AbortSystemShutdown API 来防止系统重启或关机 。E 、它开启 TCP 连线埠 5554 来建立一个 FTP 伺服器 , 用来当作感染其他机器的伺服器 。F 、通过 TCP445 连线埠扫描随机的 IP 地址 , 当连线成功时 , 被感染的计算机向被连线机器发动溢出攻击 , 被攻击的计算机将会自动连线被感染计算机的 5554 连线埠并通过 FTP 下载蠕虫的副本 , 名称一般为 4 到 5 个数字加上 "_up" 的组合 , 如 (78456_up.exe).G 、由于该病毒本身编写的漏洞存在 , 它运行一段时间后会导致 LSASS.EXE 的崩溃 , 当 LSASS.EXE 崩溃时系统默认会重启 。H 、 和最近出现的大部分蠕虫病毒不同 , 该病毒并不通过邮件传播 , 而是通过命令易受感染的机器下载特定档案并运行 , 来达到感染的目的 。档案名称为: napatch.exeI 、创建了互斥体 billgate 用于判断是否已运行 。解决方案:· 请升级毒霸到5月11日的病毒库可完全处理该病毒;· 手工解决方案首先 , 若系统为WinMe或WinXP , 则请先关闭系统还原功能;(毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能)对于系统是 Win9x/WinMe步骤一 , 删除病毒主程式请使用乾净的系统软碟引导系统到纯 DOS 模式 , 然后转到系统目录(默认的系统目录为C:\\\\windows ) , 分别输入以下命令 , 以便删除病毒程式:C:\\\\windows\\\\system32\\\\>del *_up.exeC:\\\\windows\\\\system32\\\\>cd..C:\\\\windows\\\\>del napatch.exe完毕后 , 取出系统软碟 , 重新引导到 Windows 系统 。如果手中没有系统软体盘 , 可以在引导系统时按“ F5 ”键也可进入纯 DOS 模式;步骤二 , 清除病毒在注册表里添加的项打开注册表编辑器 : 点击开始 > 运行 , 输入 REGEDIT, 按 Enter ;在左边的面板中 , 双击(按箭头顺序查找 , 找到后双击):HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run在右边的面板中 , 找到并删除如下项目:"napatch" = %SystemRoot%\\\\napatch.exe关闭注册表编辑器 .步骤一 , 使用进程式管里器结束病毒进程右键单击系统列 , 弹出选单 , 选择“任务管理器” , 调出“Windows任务管理器”视窗 。在任务管理器中 , 单击“进程”标籤 , 在例表栏内找到病毒进程 “avserve2.exe” , 单击“结束进程按钮” , 点击“是” , 结束病毒进程 , 然后关闭“Windows任务管理器”;步骤二 , 查找并删除病毒程式通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows) , 找到档案"napatch.exe" , 将它删除 ; 然后进入系统目录 (Winnt\\\\system32 或 windows\\\\system32) , 找到档案 " _up.exe ", 将它们删除;步骤三 , 清除病毒在注册表里添加的项打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;在左边的面板中, 双击(按箭头顺序查找 , 找到后双击):HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run在右边的面板中 , 找到并删除如下项目:"napatch" = %SystemRoot%\\\\napatch.exe关闭注册表编辑器.