荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: hellsolaris (qq), 信区: Security
标  题: 振荡波病毒解决方案全攻略[转载]
发信站: 荔园晨风BBS站 (Tue May  4 10:21:56 2004), 转信

【 以下文字转载自 Virus 讨论区 】
【 原文由 bluestarlove 所发表 】
病毒信息:
病毒名称: Worm.Sasser
中文名称: 震荡波
病毒别名: W32/Sasser.worm [Mcafee]
病毒长度: 15,872 Bytes
病毒类型: 蠕虫
受影响系统:WinNT/Win2000/WinXP/Win2003

破坏方式:
1、利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它
网上其它系统,
堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
2、和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令
易受感染的机器下载特定文件并运行,来达到感染的目的。
3、文件名为:avserve.exe

技术特点:
1、在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe
2、拷贝其本身至系统目录:%System%\<5位随机数字>_up.exe
3、在C盘根目录创建以下文件:C:\win.log(该文件用以记录本地主机的IP地址)
4、该病毒会监听以9996起始的TCP端口,同时扫描随机的IP地址;
5、它还会开启TCP端口5554来建立一个FTP服务器,用于传播病毒本身;
6、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,
当LSASS.EXE崩溃时系统默认会重启。

中毒现象:系统资源占用严重,系统运行缓慢;网络拥堵,上网及其困难;系统倒计时重
启,服务异常报错框。

判断是否中毒的方法:
1.任务管理器中出现avserve的进程。
2.系统目录中出现名为avserve.exe的病毒文件
3.注册表中出现病毒键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"avserve
.exe "="%WINDOWS%\avserve.exe "


解决方案:
一、对于还没有中毒的电脑
1、安装防火墙,设置对本机IP防护,并且设为防火墙随系统自动启动。推荐安装
天网防火墙2.51中文版。
2、下载专杀工具,扫描一下,目前主流专杀工具有3个,Duba_Sasser.EXE;
FxSasser.exe;RavSasser.exe,推荐用RavSasser.exe
3、下载相应操作系统的补丁并安装。如果是VLK版的操作系统一般可以正常安装补
丁,安装好了重新起动就可以了(以下部分可以不用看)。
对于部分版本的操作系统,安装时会弹出“安装程序不能更新你的windowsXP文件
,因为安装在你的系统上的语言和更新的语言不同”,这种情况下请执行以下操作。
4、关闭系统还原功能,具体操作:右键单击“我的电脑”-“属性”-“系统还
原”-“在所有驱动器上关闭系统还原”-“确定”。
再执行“开始-运行“,输入“regedit"后回车!-在注册表中找到:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls,【在“Nls”
上点右键!选择导出,命名为“bf01.reg”保存!】打开“Nls”下的“Language
”修改其中的“Default”和“InstallLanguage”的 键值,都改为“0804”!再
打开“Nls”下滴“Locale”,修改其中的“Default”,把键值改为“00000804”!
-在注册表里找到:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Nls,
在【“Nls”上点右键!选择导出,命名为“bf02.reg”保存!】打开“Nls”下的
“Language”修改其中的“Default”和“InstallLanguage”的 键值,都改为
“0804”!再打开“Nls”下滴“Locale”,修改其中的“Default”,把键值改为
“00000804”!-重启,,开机检测完按住F8,选择“安全模式”进入你的XP!
-双击下载的PRC补丁并安装!这时就可以装了!
装完后,双击刚才导出的注册表项(bf01.reg,bf02.reg)
(一定要把刚才导出的注册表项导回注册表,否则可能会不能进XP系统!因为你的
激活信息因此而变了)-重新启动!(完成)

二、对于已经中了病毒和病毒正在发作中的电脑
1、如果出现倒计时关机的窗口,就先“开始”-“运行”-“shutdown-a",关闭
自动关机窗口,先稳住病毒,慢慢打补丁,删除病毒。
2、右键单击任务栏(或者ctrl+alt+del键),-任务管理器-进程-在例表栏内
找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进
程 ,然后关闭“Windows任务管理器”;
3、通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找
到文件“avserve.exe”,将它删除;然后进入系统目录(Winnt\system32或
windows\system32),找到文件"*_up.exe", 将它们删除;【如果C盘找不到该
avserve.exe程序,请先设置显示所有系统文件,具体操作:“开始”-“设置”
-“控制面板”-“文件夹选项”-勾上
“显示系统文件夹内容”和去掉默认的“隐藏受保护的系统文件”的勾,勾上“显
示所有文件和文件夹”-“确定”。此时应该可以查看到病毒文件了,也可以尝试
在FXP窗口下查看病毒文件,删除。
如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件
。(病毒藏身的几个文件夹:C:\windows\system32\>del *_up.exe;C:
\windows\system32\>cd..; C:\windows\>del avserve.exe
4、点击开始>运行, 输入regidit, 按Enter;在左边的面板中, 双击(按箭头顺序
查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  在右边的面板中, 找到并删除如下项目:"avserve.exe" =
%SystemRoot%\avserve.exe,关闭注册表编辑器。
5、安装相应版本的补丁文件,如果因语言版本不符造成不能直接安装的请参看上
文“对于还没有中毒的电脑”解决方案的第4条。
6、重新启动电脑就可以了。

三、对于所有windows2000/XP/2003中毒和没有中毒的用户:
建议:
1、安装比较新的版本的网络防火墙,时刻保持安全意识,防患于未然。如果自己
的IP变动了,也要记得在防火墙设置那里更改相应的防护IP并重新启动。
2、对于所有用户,建议安装杀毒软件,并支持更新的。实际上对于这种病毒,只
要有一个可以升级的杀毒软件,升级到最新的病毒库就什么措施也不用了。推荐用
noton网络版杀毒软件(可升级病毒库)。
3、建议所有2000/XP/2003的用户都安装该病毒的补丁程序。
4、对于使用VLK版可以升级的操作系统用户,建议全面在线升级,打上微软推荐的
相应补丁。


相应链接网址:
补丁程序下载地址:http://www.microsoft.
com/china/technet/security/bulletin/ms04-011.mspx
                  http://download.rising.com.cn/zsgj/RavSasser.exe
专杀工具下载地址:http://dl.pconline.com.
cn/html/1/8/dlid=13058&dltypeid=1&pn=0&.html
综合下载地址:http://192.168.28.215/du




--
从校内红楹搬来校外华二了,现在不再开FTP了,别再问我要资源了好不?
电脑方面的技术问题我知无不言言无不尽,想到搬家就心痛。

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.144.235.39]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店