大家注意震荡波病毒

摘星

4月13日，微软发布了高严重级别的漏洞公告MS04-011，它不仅仅是一个漏洞，而是以下漏洞的集合：LSASS漏洞、LDAP漏洞、PCT漏洞、Winlogon漏洞、图元文件漏洞、帮助和支持中心漏洞、工具管理器漏洞、本地描述符表漏洞、H.323漏洞、DOS虚拟机漏洞、协商SSP漏洞、SSL漏洞、ASN.1“双重释放”漏洞，可谓Windows史上一次重大漏洞集合。利用这些漏洞，攻击者可以远程执行代码、拒绝服务攻击、提升权限，而此次引起世界网络震荡的是利用LSASS漏洞进行传播破坏的病毒“Sasser”，瑞星于5月1日截获此病毒并命名为“震荡波”。 LSA是本地安全授权服务（Local Security Authority），LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出，远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。一个负责建立日志条目的函数对字符串参数缺少正确的边界缓冲区检查，超长字符串可导致缓冲区溢出。部分RPC函数接收此字符串作为参数并尝试写调试日志文件，利用这些RPC函数，可能以SYSTEM权限在系统上执行任意指令。 由于利用此漏洞的蠕虫程序自身编写有缺陷，可能会导致Windows 2000/XP操作系统重启，蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。 病毒中文名：震荡波 病毒英文名：Worm.Sasser 病毒大小：15,872字节 病毒类型：蠕虫病毒 病毒危险等级：★★★★★ 病毒传播途径：网络 病毒依赖系统：Windows 2000/XP/2003 未受影响的系统： Microsoft Windows 98 Microsoft Windows ME Microsoft Windows NT 4.0 变种： 目前已有4个变种 感染症状： 1.机器频繁出错重启，提示LSASS.EXE异常退出。 2.系统目录下出现如下文件：4-5位随机数字_up.exe、avserve.exe以及C:下的win.log。 3.网络性能严重下降，CPU利用率居高不下。 杀除： 1.瑞星专杀工具： http://download.rising.com.cn/zsgj/RavSasser.exe 2.厂商MS04-011补丁集合： Microsoft Windows NT Workstation 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=7F1713FC-F95C-43E5-B825-3CF72C1A0A3E Microsoft Windows NT Server 4.0 Service Pack 6a http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=67A6F461-D2FC-4AA0-957E-3B8DC44F9D79 Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6 http://www.microsoft.com/downloads/details.aspx?FamilyId=62CBA527-A827-4777-8641-28092D3AAE4F&displaylang=en Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4 http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0692C27E-F63A-414C-B3EB-D2342FBB6C00 Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3 Microsoft Windows XP 64-Bit Edition Service Pack 1 http://www.microsoft.com/downloads/details.aspx?FamilyId=C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en Microsoft Windows XP 64-Bit Edition Version 2003 http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en Microsoft Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=EAB176D0-01CF-453E-AE7E-7495864E8D8C Microsoft Windows Server 2003 64-Bit Edition http://www.microsoft.com/downloads/details.aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en 3.手工杀除 1.关闭内存中的avserve.exe进程 2.查找删除avserve.exe和<随机数字_UP.EXE> 3.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run下的“avserve.exe”键值