[快讯]就在瑞星公司于4月29日晚刚发布一级安全警报之后,5月1日上午,瑞星全球
反病毒监测网率先截获利用这个重大漏洞的高危病毒——“振荡波”病毒(I-Worm/Sasser
),该病毒将使互联网和用户电脑系统再次面临重大危险,其破坏程度有可能超过“冲击
波”。
在瑞星发布的一级安全警报中称,目前有90%以上的Windows2000/XP/2003用户没有给
一个系统漏洞打上补丁程序,而“振荡波”病毒正是通过这个被微软定义为最高级别的漏
洞进行传播的,因此瑞星反病毒工程师预测将有众多电脑被该病毒攻击,极有可能造成大
规模泛滥。
根据分析,“振荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些
电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电
脑没有安装补丁程序并接入互联网,就有可能被感染。
“振荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”
病毒,那就是造成电脑反复重启。
简要技术分析
瑞星反病毒专家王耀华介绍,该病毒会通过FTP 的5554端口攻击电脑,使系统文件崩
溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe
的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“振荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的
5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Micros
oft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒
键值进行自启动。
该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,
并且使跟安全认证有关的程序出现严重运行错误。
瑞星行动
瑞星公司已于5月1日晚进行了紧急升级,瑞星杀毒软件16.24.42以上版本可以有效查
杀该病毒。 此外,瑞星公司还向广大非瑞星用户提供了该病毒的专杀工具,用户可以登陆
:http://it.rising.com.cn/service/technology/tool.htm网址免费下载。
如何防范“振荡波”
首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,http://www.microsoft.
瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中
、高级,封堵病毒对该端口的攻击。
非瑞星用户迅速登陆瑞星公司网站下载免费的专杀工具,下载地址为:http://it.ris
ing.com.cn/service/technology/tool.htm。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下
载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS
目录下产生名为avserve.exe的病毒文件,将其删除。
恶性蠕虫震荡波毒比冲击波 请务必严加防范!
“五一”黄金周第一日,一个新的病毒--“震荡波(Worm.Sasser)”开始在互联网肆虐。该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其破坏程度有可能超过“冲击波”。值得注意的是,早在4月13日,微软对此漏洞发布过级别为严重的安全公告,4月29日,瑞星互联网攻防实验室对此发布过一级安全警报。
如何快速识别震荡波(Worm.Sasser)病毒
5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹,该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的,危害性极大,目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞,这些操作系统的用户只要一上网,就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。
如果用户的电脑中出现下列现象之一,则表明已经中毒,就应该立刻采取措施清除该病毒。
一、出现系统错误对话框
被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。
二、系统日志中出现相应记录
如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。方法是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。
三、系统资源被大量占用
病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。
四、内存中出现名为 avserve 的进程
病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。
五、系统目录中出现名为 avserve.exe 的病毒文件
病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒文件。
六、注册表中出现病毒键值
病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\avserve.exe " 。
“震荡波”与“冲击波”病毒横向对比
背景介绍:
冲击波(Worm.Blaster)病毒2003年8月12日全球爆发,该病毒由于是利用系统漏洞进行传播,因此,没有打补丁的电脑用户都会感染该病毒,从而使电脑出现系统重启、无法正常上网等现象。
2004年5月1日,“震荡波(Worm.Sasser)”病毒在网络出现,该病毒也是通过系统漏洞进行传播的,感染了病毒的电脑会出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象。
两大恶性病毒的四大区别:
一、利用的漏洞不同
冲击波(Worm.Blaster)病毒利用的是系统的RPC DCOM漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务,该服务是操作系统的使用的本地安全认证子系统服务。
二、产生的文件不同
冲击波(Worm.Blaster)病毒运行时会在内存中产生名为msblast.exe的进程,在系统目录中产生名为msblast.exe的病毒文件,震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程,在系统目录中产生名为avserve.exe的病毒文件。
三、 利用的端口不同
冲击波(Worm.Blaster)病毒会监听端口69,模拟出一个TFTP服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门,听TCP的5554端口,然后做为FTP服务器等待远程控制命令,并疯狂地试探连接445端口。
四、 攻击目标不同
冲击波(Worm.Blaster)病毒攻击所有存在有RPC漏洞的电脑和微软升级网站,而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑,但目前还未发现有攻击其它网站的现象。
简要技术分析
瑞星反病毒专家王耀华介绍,该病毒会攻击远程电脑的445端口,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
如何防范“震荡波”
首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,http://www.microsoft.com/china/t ... letin/ms04-011.mspx。
瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。
非瑞星用户迅速登陆瑞星公司网站下载免费的专杀工具,下载地址为:http://it.rising.com.cn/service/technology/RS_sasser.htm。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。
提醒:此病毒危害严重,请各位务必采取好措施,打好补丁并升级手头杀毒软件病毒库或者用专杀工具检查系统,以防范此类病毒对计算机造成严重破坏!
下载微软漏洞补丁程序页面
http://www.microsoft.com/china/t ... letin/ms04-011.mspx
瑞星振荡波专杀工具页面
http://it.rising.com.cn/service/technology/RS_sasser.htm
反病毒监测网率先截获利用这个重大漏洞的高危病毒——“振荡波”病毒(I-Worm/Sasser
),该病毒将使互联网和用户电脑系统再次面临重大危险,其破坏程度有可能超过“冲击
波”。
在瑞星发布的一级安全警报中称,目前有90%以上的Windows2000/XP/2003用户没有给
一个系统漏洞打上补丁程序,而“振荡波”病毒正是通过这个被微软定义为最高级别的漏
洞进行传播的,因此瑞星反病毒工程师预测将有众多电脑被该病毒攻击,极有可能造成大
规模泛滥。
根据分析,“振荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些
电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电
脑没有安装补丁程序并接入互联网,就有可能被感染。
“振荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”
病毒,那就是造成电脑反复重启。
简要技术分析
瑞星反病毒专家王耀华介绍,该病毒会通过FTP 的5554端口攻击电脑,使系统文件崩
溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe
的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“振荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的
5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Micros
oft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒
键值进行自启动。
该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,
并且使跟安全认证有关的程序出现严重运行错误。
瑞星行动
瑞星公司已于5月1日晚进行了紧急升级,瑞星杀毒软件16.24.42以上版本可以有效查
杀该病毒。 此外,瑞星公司还向广大非瑞星用户提供了该病毒的专杀工具,用户可以登陆
:http://it.rising.com.cn/service/technology/tool.htm网址免费下载。
如何防范“振荡波”
首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,http://www.microsoft.
瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中
、高级,封堵病毒对该端口的攻击。
非瑞星用户迅速登陆瑞星公司网站下载免费的专杀工具,下载地址为:http://it.ris
ing.com.cn/service/technology/tool.htm。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下
载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS
目录下产生名为avserve.exe的病毒文件,将其删除。
恶性蠕虫震荡波毒比冲击波 请务必严加防范!
“五一”黄金周第一日,一个新的病毒--“震荡波(Worm.Sasser)”开始在互联网肆虐。该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其破坏程度有可能超过“冲击波”。值得注意的是,早在4月13日,微软对此漏洞发布过级别为严重的安全公告,4月29日,瑞星互联网攻防实验室对此发布过一级安全警报。
如何快速识别震荡波(Worm.Sasser)病毒
5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹,该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的,危害性极大,目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞,这些操作系统的用户只要一上网,就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。
如果用户的电脑中出现下列现象之一,则表明已经中毒,就应该立刻采取措施清除该病毒。
一、出现系统错误对话框
被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。
二、系统日志中出现相应记录
如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。方法是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。
三、系统资源被大量占用
病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。
四、内存中出现名为 avserve 的进程
病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。
五、系统目录中出现名为 avserve.exe 的病毒文件
病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒文件。
六、注册表中出现病毒键值
病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\avserve.exe " 。
“震荡波”与“冲击波”病毒横向对比
背景介绍:
冲击波(Worm.Blaster)病毒2003年8月12日全球爆发,该病毒由于是利用系统漏洞进行传播,因此,没有打补丁的电脑用户都会感染该病毒,从而使电脑出现系统重启、无法正常上网等现象。
2004年5月1日,“震荡波(Worm.Sasser)”病毒在网络出现,该病毒也是通过系统漏洞进行传播的,感染了病毒的电脑会出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象。
两大恶性病毒的四大区别:
一、利用的漏洞不同
冲击波(Worm.Blaster)病毒利用的是系统的RPC DCOM漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务,该服务是操作系统的使用的本地安全认证子系统服务。
二、产生的文件不同
冲击波(Worm.Blaster)病毒运行时会在内存中产生名为msblast.exe的进程,在系统目录中产生名为msblast.exe的病毒文件,震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程,在系统目录中产生名为avserve.exe的病毒文件。
三、 利用的端口不同
冲击波(Worm.Blaster)病毒会监听端口69,模拟出一个TFTP服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门,听TCP的5554端口,然后做为FTP服务器等待远程控制命令,并疯狂地试探连接445端口。
四、 攻击目标不同
冲击波(Worm.Blaster)病毒攻击所有存在有RPC漏洞的电脑和微软升级网站,而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑,但目前还未发现有攻击其它网站的现象。
简要技术分析
瑞星反病毒专家王耀华介绍,该病毒会攻击远程电脑的445端口,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
如何防范“震荡波”
首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,http://www.microsoft.com/china/t ... letin/ms04-011.mspx。
瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。
非瑞星用户迅速登陆瑞星公司网站下载免费的专杀工具,下载地址为:http://it.rising.com.cn/service/technology/RS_sasser.htm。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。
提醒:此病毒危害严重,请各位务必采取好措施,打好补丁并升级手头杀毒软件病毒库或者用专杀工具检查系统,以防范此类病毒对计算机造成严重破坏!
下载微软漏洞补丁程序页面
http://www.microsoft.com/china/t ... letin/ms04-011.mspx
瑞星振荡波专杀工具页面
http://it.rising.com.cn/service/technology/RS_sasser.htm
