发信人: bright.f(杨柳岸边)
整理人: imstella(2004-07-11 15:27:05), 站内信件
|
1、概述
四月底以来,今年最具破坏性的病毒震荡波(Worm_SASSER)开始在网上广泛传播,已经造成相当广泛的破坏,并且迅速出现多个变种。该病毒利用微软操作系统漏洞LSASS (Local Security Authority Subsystem Service,本地安全性授权子系统服务) 通过445连接端口对全球网络发动攻击。这一病毒和其它大部分蠕虫病毒不一样,不必靠电子邮件传播,只要计算机开机就有中毒可能。
2、病毒细节
2.1安装和自启动技术
该病毒可常驻内存,在运行时,可在Windows文件夹中生成如下拷贝:AVSERVE2.EXE。请注意:该病毒的前身WORM_SASSER.A在Windows文件夹中生成名为AVSERVE.EXE的自身拷贝,并同样添加注册表项目。
为使自身可以在每次系统启动时自动运行,病毒添加如下的注册表项目:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avserve2.exe = "%Windows%\avserve2.exe"
(注意: %Windows% 是Windows文件夹,通常就是C:\Windows或C:\WINNT。)
病毒为检查系统是否已被传染,WORM_SASSER.A病毒搜索名为“Jobaka3l”的互斥体,而WORM_SASSER.B病毒则搜索如下的互斥体:“Jobaka3”、“JumpallsNlsTillt”。如果找到互斥体,病毒不再传染给该系统。
2.2传播和漏洞
该病毒利用了Windows LSASS的一个已知漏洞,这个一个缓冲溢出漏洞,后果是使远程攻击者完全控制受感染系统。有关该漏洞的更多信息,请访问如下网页:
MS04-011_MICROSOFT_WINDOWS
Microsoft Security Bulletin MS04-011
该病毒扫描网络上具有漏洞的系统。病毒发送向其发送一个特别制作的数据包,该包可使LSASS.EXE产生一个缓冲溢出。 病毒将数据包发送至受感染系统的TCP445端口,通常Windows 2000使用该端口传输SMB(Server Message Block) 。
缓冲溢出的结果就是使病毒可侦听TCP的9996端口,目的是使病毒spawn命令提示符的壳。然后该病毒创建脚本文件CMD.FTP,这个脚本文件使受感染的系统打开TCP的5554端口使用FTP从受感染的系统下载并执行病毒自身拷贝。
受感染的主机打开TCP的5554端口,用于接收来自远程受感染系统发出的FTP请求。被下载的病毒拷贝所使文件名为“_up.exe”,下载后被保存在Windows系统目录。
下载后,病毒删除CMD.FTP文件。而后在根目录下创建名为“WIN.LOG”的日志文件。该文件包含可被感染系统的数量。
2.3 LSASS破坏
由于该病毒可使LSASS.EXE产生缓冲溢出,结果是使Windows连续地重启。
将显示如下的消息框:
3、解决方案:
3.1封堵端口
在病毒已经爆发的情况下,建议管理员封堵住TCP的5554和9996端口以阻止SASSER蠕虫通过TCP进行文件传输。
3.2手动清除病毒
请按照下列步骤手动清除病毒。
3.2.1终止恶意程序
Windows NT, 2000和XP系统
打开windows任务管理器。按CTRL+SHIFT+ESC, 然后点击进程选项卡。 在运行程序列表中,找到“Avserve.exe、avserve2.exe、*_up.exe”等进程,并关闭。然后重启进入安全模式
在 Windows 95系统中
重启机器,在出现 "Starting Windows 95"时按F8。在Windows95启动菜单中选择安全模式,然后按Enter。
在 Windows 98/ME系统中
重启机器,按CTRL键直至出现Windows 启动菜单。选择安全模式选项,按Enter。
3.2.2删除注册表中的自启动项目
从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
点击开始>运行,输入REGEDIT,按Enter。在左边的面板中,双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中,找到并删除如下项目:avserve2.exe = "%Windows%\avserve2.exe"
3.3自动清除
如果已经安装了防病毒软件,请使用厂商的推荐解决方法。各防毒厂商均已就震荡波病毒推出了自己的解决方案,需要更新防病毒代码及相关功能组件,请密切注意此类信息。
3.4修补系统漏洞
为防止系统再次感染此病毒,需要安装微软操作系统补丁MS04-011。
Microsoft Security Bulletin MS04-011
4、病毒防范
从去年造成大范围影响的冲击波病毒,到震荡波病毒,病毒程序利用微软操作系统漏洞传播的速度越来越快,下表列出了近年来一些重大病毒爆发与微软补丁发布周期的数据。
病毒名称 微软修补程序公布 病毒爆发日期 修补程序与病毒周期
Worm_Sasser
震荡波病毒 MS04-011
04/13/2004 05/01/2004 18 Days
(历史最短时间)
Worm_Blaster
冲击波病毒 MS03-026
07/16/2003 08/11/2003 26 Days
Worm_Slammer
速客一号病毒 MS02-039
07/24/2002 01/25/2003 185 Days
Worm_Nimda
尼姆达病毒 MS00-078
10/17/2000 09/18/2001 336 Days
为防止系统漏洞被病毒利用造成故障,系统管理员应该及时注意微软的系统公告,及时为网络上的计算机安装补丁。有条件的用户,可以使用Windows Update服务在线更新,或者安装SMS Server进行补丁管理。已部署了网络版防病毒软件的用户,需要及时更新病毒代码和功能组件,留意厂商公告,并经常查看防病毒系统日志,及时采取措施。
----
|
|