系统之家 - 专注分享最好的电脑系统软件!免费安全下载 系统之家首页 | Win7激活工具 | 热门专题
系统之家>您的位置:首页 > > 系统教程 > Win7系统教程 >

震荡波病毒的中毒表现和震荡波病毒特点及防范方法

更新时间:2017-08-03 15:47:41| 编辑:本站整理 | 信息来源:本站整理|浏览数:
震荡波病毒是比较有名的一种计算机病毒,中毒后会给用户数据、操作系统造成很大的损坏,甚至电脑不能启动!当然随着杀毒软件免费流行,病毒越来越少,不过呢还是不能不防,下面小编要介绍震荡波病毒的中毒表现和震荡波病毒特点及防范方法。


 

冲击波(Worm.Blaster)病毒是利用微软公司在2003年7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。
该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等

震荡波(Shockwave)是一种电脑病毒,为I-Worm/Sasser.a 的第三方改造版本,与该病毒以前的版本相同,通过微软的最新LSASS漏洞进行传播,我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件,会显示出谴责美国大兵的英文语句。

具体技术特征如下:

  1、感染系统为:Windows 2000、Windows Server 2003、Windows XP、Windows 7 ;

  2、利用微软的漏洞:MS04-011

  3、病毒运行后,将自身复制为%WinDir%\napatch.exe ;

  4、在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:“napatch.exe” = %WinDir%\napatch.exe;这样,病毒在Windows启动时就得以运行;

  5、在TCP端口5554建立FTP服务,用以将自身传播给其他计算机;

  6、随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染;

  7、病毒还会利用漏洞攻击LSASS.EXE进程,被攻击计算机的LSASS.EXE进程会瘫痪,Windows系统将会有1分钟倒计时关闭的提示;

  8、病毒在C:\win32.log中记录其感染的计算机数目和IP地址.


  该病毒主要利用微软SSL安全漏洞进行攻击。微软证书服务中使用的PCT(Private Communication Technology)协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞,该协议是基于Microsoft IIS 5 WEB平台的Microsoft SSL(Secure Sockets Layer)库的实现。
生成病毒文件
  病毒运行后,在%Windows%目录下生成自身的拷贝,名称为avserve.exe,avserve2.exe等,文件长度为15872字节,和在%System%目录下生成其它病毒文件
例如:
c:\win.log : IP地址列表
c:\WINNT\avserve.exe : 蠕虫病毒文件本身
c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身
c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身
修改注册表项
  病毒创建注册表项,使得自身能够在系统启动时自动运行,在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
“avserve”=”c:\WINNT\avserve.exe”
通过系统漏洞主动进行传播
  病毒主动进行扫描,当发现网络中存在微软SSL安全漏洞时,进行攻击,然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。
 

  如何防范“震荡波”

  首先,用户必须迅速下载微软补丁程序,作为对于该病毒的防范。

  如何处理“震荡波”

  第三方工具

  金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。非金山或者瑞星和360用户迅速下载专杀工具。

  如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。

  手工清理

  1、断网打补丁

  如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到微软网站下载相应的漏洞补丁程序 ,然后断开网络,运行补丁程序,当补丁安装完成后再上网。

  2、清除内存中的病毒进程

  要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三键或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。

  3、删除病毒文件

  病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为《随机字符串》_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。

  4、删除注册表键值

  该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%WINDOWS%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器,找到该病毒键值,然后直接删除。

以上就是关于震荡波病毒的一些相关信息了,虽然很多用户已经在使用更高级版本的windows操作系统,不过对于WinXP使用大国中国来说,该病毒还是需要防范的。


返回顶部


系统之家发布的系统镜像及软件均来至互联网,仅供学习和研究使用,不得用于任何商业用途并请在下载后24小时内删除,如果满意请联系版权方购买。
如果您发现本站侵害了您的版权,请立即联系我们,本站将第一时间进行相关处理。联系方式(见首页)
版权声明|下载声明 Copyright @ 2016 系统之家