| 查看: 747 | 回复: 5 | |||
| 当前主题已经存档。 | |||
[交流]
【分享】震荡波病毒补丁!!for xp【已搜索无重复】
|
|||
|
我国发现新型“震荡波”(Worm_Sasser) 国家计算机病毒应急处理中心通过对互联网的监测,于2004年5月1日发现一种利用微软近期公布漏洞的新蠕虫病毒,我们将其命名为“震荡波”蠕虫病毒,并已接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。 该病毒利用了Windows LSASS的一个已知漏洞(MS04-011),这个一个缓冲溢出漏洞,后果是使远程攻击者完全控制受感染系统。 病毒名称: "震荡波"病毒 Worm_Sasser 其它英文命名:暂无 感染系统:WinNT/Win2000/WinXP/Win2003 病毒长度:15872字节 病毒特征: 1、生成病毒文件 病毒运行后,在%Windows%目录下生成自身的拷贝,名称为avserve.exe,文件长度为15872字节,和在%System%目录下生成其它病毒文件 例如: c:\win.log : IP地址列表 c:\WINNT\avserve.exe : 蠕虫病毒文件本身 c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身 c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身 2、修改注册表项 病毒创建注册表项,使得自身能够在系统启动时自动运行,在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run下创建 "avserve"=”c:\WINNT\avserve.exe” 3、通过系统漏洞主动进行传播 病毒主动进行扫描,当发现网络中存在微软SSL安全漏洞时,进行攻击,然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。 4、危害性 受感染的系统可能死机或者造成重新启动,同时由于病毒扫描A 类或B类子网地址,目标端口是TCP 445会对网络性能有一定影响,尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。 清除该病毒的相关建议: 1、安全模式启动 重新启动系统同时按下按F8键,进入系统安全模式 2、注册表的恢复 点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双 击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>Run ,并删除面板右侧的"avserve"="c:\winnt\avserve.exe" 3、删除病毒释放的文件 点击"开始--〉查找--〉文件和文件夹",查找文 件"avserve.exe"和"*_up.exe",并将找到的文件删除。 4、安装系统补丁程序 到以下微软网站下载安装补丁程序: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx 或者在IE浏览器的工具->Windows Update升级系统。 5、重新配置防火墙 重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996 中文xp补丁下载:http://download.microsoft.com/do ... B835732-x86-CHS.EXE [ Last edited by ratio on 2008-11-30 at 14:43 ] |
回复此楼» 猜你喜欢
346,工科0854求调剂,专硕
已经有7人回复
-
材料考研调剂
已经有4人回复
-
283求调剂,工科!
已经有11人回复
-
284求调剂
已经有13人回复
-
0854调剂
已经有3人回复
-
本人女孩
已经有7人回复
-
295分求调剂
已经有7人回复
-
本科211 工科085400 280分求调剂 可跨专业
已经有11人回复
-
352 求调剂
已经有4人回复
-
085506-求调剂-285分
已经有3人回复
2楼2004-05-03 16:35:23
3楼2004-05-03 22:05:35
月光饭盒
荣誉版主 (知名作家)
小木虫虫花优秀儿童饭饭小朋友
- 应助: 0 (幼儿园)
- 贵宾: 13.272
- 金币: 23867.1
- 红花: 7
- 帖子: 5592
- 在线: 4.6小时
- 虫号: 225
- 注册: 2003-02-26
- 性别: MM
- 专业: 建筑学
4楼2004-05-03 22:17:12
5楼2004-05-04 01:47:33
1
| hao |
6楼2004-05-04 09:26:09
