|
- 帖子
- 3961
- 精華
- 8
- 威望
- 113
- 魅力
- 0
- 讚好
- 0
- 性別
- 男
|
3#
發表於 2006-4-29 04:35 PM
| 只看該作者
Originally posted by 跳來舞 at 2006-4-28 22:46:
唔知做咩冇啦啦仲左60s病毒呀....
仲有唔知點解有洗機程式呀...我隻洗機碟洗唔到機囉....唔知咩事呀....help
用WORD轉繁體※振荡波专题※
W32.Sasser.Worm以及其变种W32.Sasser.[B-F].Worm是一类利用微软安全公告MS04-011中
描述的LSASS漏洞进行攻击的蠕虫病毒,它通过扫描随机选择的IP地址进行传播.(其中变种
G以更名为变种E,ft).
影响系统:Windows2000,WindowsXP
[A-C,E,F]变种不感染Windows95/98/Me但是可在其上执行并传染其它计算机,
[D]变种只能运行于WindowsXP但是可以入侵Windows2000但不执行。
病毒简介:
1.将病毒自身复制到%WinDir%\avservefilter-031[W32.Sasser.Worm]
%WinDir%\avserve2filter-031[W32.Sasser.B/C.Worm]
%WinDir%\skynetavefilter-031[W32.Sasser.D]
%WinDir%\lsasssfilter-031[W32.Sasser.E.Worm]
%WinDir%\napatchfilter-031[W32.Sasser.F.Worm]
其中%WinDir%代表Windows2000系统的WINNT目录或WindowsXP系统的WINDOWS目录;
2.在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
位置添加键值
"avservefilter-031"="%Windir%\avservefilter-031"[W32.Sasser.Worm]
"avserve2filter-031"="%Windir%\avserve2filter-031"[W32.Sasser.B/C.Worm]
"skynetavefilter-031"="%Windir%\skynetavefilter-031"[W32.Sasser.D]
"lsasssfilter-031"="%Windir%\lsasssfilter-031"[W32.Sasser.E.Worm]
"napatchfilter-031"="%Windir%\napatchfilter-031"[W32.Sasser.F.Worm]
3.利用系统的API接口AbortSystemShutdown使计算机出现倒计时关机或者重新启动,
可能会遇到LSAShell错误或者lsass错误的提示;
变种E在激活后的2小时内每秒钟调用一次系统关机,并出现含有下列文本的消息:
1.YourcomputerisaffectedbytheMS04-011vulnerability
2.Itcanbethatdangerouscomputervirusessimilar
theBlasterworminfectyourcomputer
3.PleaseupdateyourcomputerwiththeMS04-011LSASSpatch
fromthewww.microsoft.comwebsite
4.ThisisanmessagefromtheSkyNetTeamfor
maliciousactivityprevention
4.在系统的TCP端口5554[A-D,F]/1023[E]开启一个FTP服务;
5.该病毒会试图连接随机生成的IP地址的计算机的TCP端口445,如果成功建立连接,
病毒会通过代码使远程计算机在TCP端口9996[A,B,C,F]/9995[D]/1022[E]运行一个
远程应用程序,连接回本地已开启的FTP获取该病毒的一个副本并执行,这个病毒
的副本具有
"*_upfilter-031"[A-D,F]
"*_updatefilter-031"[E]
的形式,其中*代表介于1000和99999之间的数字;
6.在C盘根目录下生成
win.log[A]
win2.log[B-D,F]
ftplog.txt[E]
其中含有最近扫描的IP和已感染计算机数。
解决方法(杀毒前请先断网):
若系统不断提示60s关机,可通过"开始-->运行-->输入`shutdown-a`-->回车"强制取消
系统关机再执行以下步骤.
1.终止病毒进程WindowsNT/2000/XP中,按Ctrl+Alt+Delete,点击任务管理器,选择进
程标签,双击映像名称列来让进程按字母排序.查找以下进程avservefilter-031;avser
ve2filter-031;skynetavefilter-031;lsasssfilter-031;napatchfilter-031;*_upfilter-031;*_updatefilter-031
进程;如果发现则终止这些进程.
2.禁用系统还原(WindowsXP)
如果你使用WindowsXP,强烈建议你暂时关闭系统还原.
(如果你确认已经杀掉了病毒,你可以重新启用系统还原功能)
3.安装微软补丁KB837001,KB828741,KB835732
(包含windows2000.xp.2003相关中英文关键更新)
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/微软
补丁/
ftp://202.115.48.253/Sasser专区/微软补丁/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/微软补丁/
或使用望江楼Windows在线更新,http://202.115.32.69/,具体操作见页面介绍.
xp补丁安装过程中提示语言不同的问题,请在病毒版查看[补丁与系统语言包不同解
决]一文,或在以上三个FTP的Sasser专区根目录下下载该文文档.或者xp的话可在以上
3个ftp相应目录下载免语言检查版本补丁
4.升级杀毒软件病毒库
如果你使用Norton,可在以从地址下载最新升级包
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区
/Norton病毒库/
ftp://202.115.48.253/Sasser专区/Norton病毒库/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/Norton病毒库/m
其他杀毒软件病毒库暂无,请自行前往相关网站下载更新
5.下载专杀工具
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/专
杀/
ftp://202.115.48.253/Sasser专区/专杀/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/专杀/
推荐下载使用诺顿的震荡波专杀,文件名为FxSasserfilter-031.
6.查杀病毒
启动专杀工具或杀毒软件,选择完整系统扫描进行查杀.如果任何文件被查处感染了W3
2.Sasser病毒,删除之.
7.修改注册表(建议你在修改注册表之前备份一下)
开始-->运行-->regedit
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
位置下的
"avservefilter-031"="%Windir%\avservefilter-031"
"avserve2filter-031"="%Windir%\avserve2filter-031"
"skynetavefilter-031"="%Windir%\skynetavefilter-031"5个中只会有1个,对应相应变种
"lsasssfilter-031"="%Windir%\lsasssfilter-031"
"napatchfilter-031"="%Windir%\napatchfilter-031" |
http://filehost.to/files/2005-11-30_02/102358_faeuste_ballen.gif
http://filehost.to/files/2005-11-30_02/102807_vtffani.gif
http://www3.filehost.to/files/2006-02-22_01/055823_00000001.gif |
|
)