震盪波[電腦病毒]

介紹

綜述

衝擊波（Worm.Blaster）病毒是利用微軟公司在2003年7月21日公布的RPC漏洞進行傳播的，只要是計算機上有RPC服務並且沒有打安全補丁的計算機都存在有RPC漏洞，具體涉及的作業系統是：Windows2000、XP、Server 2003。
該病毒感染系統後，會使計算機產生下列現象：系統資源被大量占用，有時會彈出RPC服務終止的對話框，並且系統反覆重啟, 不能收發郵件、不能正常複製檔案、無法正常瀏覽網頁，複製貼上等操作受到嚴重影響，DNS和IIS服務遭到非法拒絕等。

病毒描述

病毒表現截圖：出現系統錯誤對話框

病毒英文名：Worm.Sasser

病毒大小：15,872位元組
病毒類型：蠕蟲病毒
病毒危險等級：★★★★★
病毒傳播途徑：網路
病毒依賴系統：Windows 2000/XP
變種：Worm.Sasser.b/c/d/e/f
未受影響的系統：
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0

Microsoft Windows Vista

Microsoft Windows 8

Microsoft Windows 8.1

Microsoft Windows 10

破壞方式

在本地開闢後門。監聽TCP 5554連線埠，做為FTP伺服器等待遠程控制命令。病毒以FTP的形式提供檔案傳送。黑客可以通過這個連線埠偷竊用戶機器的檔案和其他信息。 病毒開闢128個掃描執行緒。以本地IP位址為基礎，取隨機IP位址，瘋狂的試探連線445連線埠，試圖利用windows的LSASS 中存在一個緩衝區溢出漏洞進行攻擊，一旦攻擊成功會導致對方機器感染此病毒並進行下一輪的傳播，攻擊失敗也會造成對方機器的緩衝區溢出,導致對方機器程式非法操作,以及系統異常等。

技術特徵

1.感染系統為：Windows 2000、Windows Server 2003、Windows XP、Windows 7

2.利用微軟的漏洞：MS04-011；

3.病毒運行後，將自身複製為%WinDir%\napatch.exe

系統日誌中出現相應記錄

4.在註冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建："napatch.exe" = %WinDir%\napatch.exe；這樣，病毒在Windows啟動時就得以運行。

5.在TCP連線埠5554建立FTP服務，用以將自身傳播給其他計算機。

6.隨機在網路上搜尋機器，向遠程計算機的445連線埠傳送包含後門程式的非法數據，遠程計算機如果存在MS04-011漏洞，將會自動運行後門程式，打開後門連線埠9996。病毒利用後門連線埠9996，使得遠程計算機連線病毒打開的FTP連線埠5554，下載病毒體並運行，從而遭到感染。

7.病毒還會利用漏洞攻擊LSASS.EXE進程，被攻擊計算機的LSASS.EXE進程會癱瘓，Windows系統將會有1分鐘倒計時關閉的提示。

8.病毒在C:\win32.log中記錄其感染的計算機數目和IP位址。

發現清除

1. 病毒運行時會建立一個名為："BILLY"的互斥量，使病毒自身不重複進入記憶體，並且病毒在記憶體中建立一個名為："msblast"的進程，用戶可以用任務管理器將該病毒進程終止。
2. 病毒運行時會將自身複製為：%systemdir%\msblast.exe,用戶可以手動刪除該病毒檔案。
注意：%Windir%是一個變數，它指的是作業系統安裝目錄，默認是："C:\Windows"或："c:\Winnt",也可以是用戶在安裝作業系統時指定的其它目錄。
3. 病毒會修改註冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項，在其中加入："windows auto update"="msblast.exe"，進行自啟動，用戶可以手工清除該鍵值。
4. 病毒體內隱藏有一段文本信息：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
5. 當病毒攻擊失敗時，可能會造成沒有打補丁的Windows系統RPC服務崩潰，Windows XP系統可能會自動重啟計算機。該蠕蟲不能成功攻擊Windows Server2003，但是可以造成Windows Server2003系統的RPC服務崩潰，默認情況下是系統反覆重啟。
6. 病毒檢測到當前系統月份是8月之後或者日期是15日之後，就會向微軟的更新站點"windowsupdate.com"發動拒絕服務攻擊，使微軟網站的更新站點無法為用戶提供服務。

手工清除

一、DOS環境下清除該病毒：
1.當用戶中招出現以上現象後，用DOS系統啟動盤啟動進入DOS環境下，進入C糟的作業系統目錄.
操作命令集：
C:
CD C:\windows (或CD　c:\winnt)
2. 查找目錄中的"msblast.exe"病毒檔案。
命令操作集：
dir msblast.exe /s/p
3.找到後進入病毒所在的子目錄，然後直接將該病毒檔案刪除。
Del msblast.exe
二、 在安全模式下清除病毒
如果用戶手頭沒有DOS啟動盤，還有一個方法，就是啟動系統後進入安全模式，然後搜尋C糟，查找msblast.exe檔案，找到後直接將該檔案刪除，然後再次正常啟動計算機即可。
給系統打補丁方案：
當用戶手工清除了病毒體後，應上網下載相應的補丁程式，用戶可以先進入微軟網站，下載相應的系統補丁，給系統打上補丁。

如何防範

下載補丁

首先，用戶必須迅速下載微軟補丁程式，作為對於該病毒的防範。

專殺工具

金山或者瑞星用戶迅速升級防毒軟體到最新版本，然後打開個人防火牆，將安全等級設定為中、高級，封堵病毒對該連線埠的攻擊。非金山或者瑞星和360用戶迅速下載免費的專殺工具。

手工刪除

如果用戶已經被該病毒感染，首先應該立刻斷網，手工刪除該病毒檔案，然後上網下載補丁程式，並升級防毒軟體或者下載專殺工具。手工刪除方法：查找C:\WINDOWS目錄下產生名為avserve.exe的病毒檔案，將其刪除。

手工清理

斷網打補丁

如果不給系統打上相應的漏洞補丁，則連網後依然會遭受到該病毒的攻擊，用戶應該先到微軟網站下載相應的漏洞補丁程式 ，然後斷開網路，運行補丁程式，當補丁安裝完成後再上網。

清除記憶體中的病毒進程

要想徹底清除該病毒，應該先清除記憶體中的病毒進程，用戶可以按CTRL+SHIFT+ESC三鍵或者右鍵單擊系統列，在彈出選單中選擇“任務管理器”打開任務管理器界面，然後在記憶體中查找名為“avserve.exe”的進程，找到後直接將它結束。

刪除病毒檔案

病毒感染系統時會在系統安裝目錄（默認為C:\WINNT）下產生一個名為avserve.exe的病毒檔案，並在系統目錄下(默認為C:\WINNT\System32)生成一些名為<隨機字元串>_UP.exe的病毒檔案，用戶可以查找這些檔案，找到後刪除，如果系統提示刪除檔案失敗，則用戶需要到安全模式下或DOS系統下刪除這些檔案。

刪除註冊表鍵值

該病毒會在電腦註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項中建立名為“avserve.exe”，內容為：“%WINDOWS%\avserve.exe”的病毒鍵值，為了防止病毒下次系統啟動時自動運行，用戶應該將該鍵值刪除，方法是在“運行”選單中鍵入“REGEDIT” 然後調出註冊表編輯器，找到該病毒鍵值，然後直接刪除。