震蕩波（Shockwave）是一種電腦病毒,，為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,，也是通過微軟的最新LSASS漏洞進行傳播,。

基本介紹

綜述

沖擊波（Worm.Blaster）病毒是利用微軟公司在2003年7月21日公布的RPC漏洞進行傳播的，只要是計算機上有RPC服務(wù)并且沒有打安全補丁的計算機都存在有RPC漏洞,，具體涉及的操作系統(tǒng)是：Windows2000,、XP、Server 2003,。

該病毒感染系統(tǒng)后,，會使計算機產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時會彈出RPC服務(wù)終止的對話框,，并且系統(tǒng)反復(fù)重啟,，不能收發(fā)郵件、不能正常復(fù)制文件,、無法正常瀏覽網(wǎng)頁,，復(fù)制粘貼等操作受到嚴(yán)重影響,，DNS和IIS服務(wù)遭到非法拒絕等,。

病毒描述

病毒英文名：Worm.Sasser

病毒大小：15,872字節(jié)

病毒類型：蠕蟲病毒

病毒危險等級：★★★★★

病毒傳播途徑：網(wǎng)絡(luò)

病毒依賴系統(tǒng)：Windows 2000/XP

變種：Worm.Sasser.b/c/d/e/f

未受影響的系統(tǒng)：

Microsoft Windows 98

Microsoft Windows ME

Microsoft Windows NT 4.0

Microsoft Windows Vista

Microsoft Windows 8

Microsoft Windows 8.1

Microsoft Windows 10

破壞方式

在本地開辟后門。監(jiān)聽TCP 5554端口,，做為FTP服務(wù)器等待遠程控制命令,。病毒以FTP的形式提供文件傳送。黑客可以通過這個端口偷竊用戶機器的文件和其他信息,。病毒開辟128個掃描線程,。以本地IP地址為基礎(chǔ)，取隨機IP地址,，瘋狂的試探連接445端口,，試圖利用windows的LSASS中存在一個緩沖區(qū)溢出漏洞進行攻擊，一旦攻擊成功會導(dǎo)致對方機器感染此病毒并進行下一輪的傳播,，攻擊失敗也會造成對方機器的緩沖區(qū)溢出,，導(dǎo)致對方機器程序非法操作，以及系統(tǒng)異常等,。

技術(shù)特征

1.感染系統(tǒng)為：Windows 2000,、Windows Server 2003、Windows XP,、Windows 7

2.利用微軟的漏洞：MS04-011,；

3.病毒運行后，將自身復(fù)制為%WinDir% apatch.exe

4.在注冊表啟動項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建："napatch.exe" =%WinDir% apatch.exe,；這樣,，病毒在Windows啟動時就得以運行。

5.在TCP端口5554建立FTP服務(wù),，用以將自身傳播給其他計算機,。

6.隨機在網(wǎng)絡(luò)上搜索機器，向遠程計算機的445端口發(fā)送包含后門程序的非法數(shù)據(jù),，遠程計算機如果存在MS04-011漏洞,，將會自動運行后門程序，打開后門端口9996,。病毒利用后門端口9996,，使得遠程計算機連接病毒打開的FTP端口5554，下載病毒體并運行,，從而遭到感染,。

7.病毒還會利用漏洞攻擊LSASS.EXE進程，被攻擊計算機的LSASS.EXE進程會癱瘓,，Windows系統(tǒng)將會有1分鐘倒計時關(guān)閉的提示,。

8.病毒在C:win32.log中記錄其感染的計算機數(shù)目和IP地址。

發(fā)現(xiàn)清除

1.病毒運行時會建立一個名為："BILLY"的互斥量,，使病毒自身不重復(fù)進入內(nèi)存,，并且病毒在內(nèi)存中建立一個名為："msblast"的進程,，用戶可以用任務(wù)管理器將該病毒進程終止。

2.病毒運行時會將自身復(fù)制為：%systemdir%msblast.exe,，用戶可以手動刪除該病毒文件,。

注意：%Windir%是一個變量，它指的是操作系統(tǒng)安裝目錄,，默認(rèn)是："C:Windows"或："c:Winnt",，也可以是用戶在安裝操作系統(tǒng)時指定的其它目錄。

3.病毒會修改注冊表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項,，在其中加入："windows auto update"="msblast.exe",，進行自啟動，用戶可以手工清除該鍵值,。

4.病毒體內(nèi)隱藏有一段文本信息：

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ? Stop making money and fix your software!!

5.當(dāng)病毒攻擊失敗時,，可能會造成沒有打補丁的Windows系統(tǒng)RPC服務(wù)崩潰，Windows XP系統(tǒng)可能會自動重啟計算機,。該蠕蟲不能成功攻擊Windows Server2003,，但是可以造成Windows Server2003系統(tǒng)的RPC服務(wù)崩潰，默認(rèn)情況下是系統(tǒng)反復(fù)重啟,。

6. 病毒檢測到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后,，就會向微軟的更新站點"windowsupdate.com"發(fā)動拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新站點無法為用戶提供服務(wù),。

手工清除

一,、DOS環(huán)境下清除該病毒：

1.當(dāng)用戶中招出現(xiàn)以上現(xiàn)象后，用DOS系統(tǒng)啟動盤啟動進入DOS環(huán)境下,，進入C盤的操作系統(tǒng)目錄.

操作命令集：

C:

CD C:windows (或CD　c:winnt)

2. 查找目錄中的"msblast.exe"病毒文件,。

命令操作集：

dir msblast.exe /s/p

3.找到后進入病毒所在的子目錄，然后直接將該病毒文件刪除,。

Del msblast.exe

二,、在安全模式下清除病毒

如果用戶手頭沒有DOS啟動盤，還有一個方法,，就是啟動系統(tǒng)后進入安全模式,，然后搜索C盤，查找msblast.exe文件,，找到后直接將該文件刪除,，然后再次正常啟動計算機即可。

給系統(tǒng)打補丁方案：

當(dāng)用戶手工清除了病毒體后,，應(yīng)上網(wǎng)下載相應(yīng)的補丁程序,，用戶可以先進入微軟網(wǎng)站，下載相應(yīng)的系統(tǒng)補丁,，給系統(tǒng)打上補丁,。

防范方式

下載補丁

首先,，用戶必須迅速下載微軟補丁程序，作為對于該病毒的防范,。

專殺工具

金山或者瑞星用戶迅速升級殺毒軟件到最新版本，然后打開個人防火墻,，將安全等級設(shè)置為中,、高級，封堵病毒對該端口的攻擊,。非金山或者瑞星和360用戶迅速下載免費的專殺工具,。

手工刪除

如果用戶已經(jīng)被該病毒感染，首先應(yīng)該立刻斷網(wǎng),，手工刪除該病毒文件,，然后上網(wǎng)下載補丁程序，并升級殺毒軟件或者下載專殺工具,。手工刪除方法：查找C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件,，將其刪除。

手工清理

斷網(wǎng)打補丁

如果不給系統(tǒng)打上相應(yīng)的漏洞補丁,，則連網(wǎng)后依然會遭受到該病毒的攻擊,，用戶應(yīng)該先到微軟網(wǎng)站下載相應(yīng)的漏洞補丁程序，然后斷開網(wǎng)絡(luò),，運行補丁程序,，當(dāng)補丁安裝完成后再上網(wǎng)。

清除內(nèi)存中的病毒進程

要想徹底清除該病毒,，應(yīng)該先清除內(nèi)存中的病毒進程,，用戶可以按CTRL SHIFT ESC三鍵或者右鍵單擊任務(wù)欄，在彈出菜單中選擇“任務(wù)管理器”打開任務(wù)管理器界面,，然后在內(nèi)存中查找名為“avserve.exe”的進程,，找到后直接將它結(jié)束。

刪除病毒文件

病毒感染系統(tǒng)時會在系統(tǒng)安裝目錄（默認(rèn)為C:WINNT）下產(chǎn)生一個名為avserve.exe的病毒文件,，并在系統(tǒng)目錄下(默認(rèn)為C:WINNTSystem32)生成一些名為<隨機字符串>_UP.exe的病毒文件,，用戶可以查找這些文件，找到后刪除,，如果系統(tǒng)提示刪除文件失敗,，則用戶需要到安全模式下或DOS系統(tǒng)下刪除這些文件。

刪除注冊表鍵值

該病毒會在電腦注冊表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun項中建立名為“avserve.exe”,，內(nèi)容為：“%WINDOWS%avserve.exe”的病毒鍵值,，為了防止病毒下次系統(tǒng)啟動時自動運行，用戶應(yīng)該將該鍵值刪除,，方法是在“運行”菜單中鍵入“REGEDIT”然后調(diào)出注冊表編輯器,，找到該病毒鍵值,，然后直接刪除。