惡性蠕蟲：震蕩波毒於沖擊波

“五一”黃金周第一日，一個新的病毒--“震蕩波(Worm.Sasser)”開始在互聯網肆虐。該病毒利用Windows平台的Lsass漏洞進行傳播，中招後的系統將開啟128個線程去攻擊其他網上的用戶，可造成機器運行緩慢、網絡堵塞，並讓系統不停的進行倒計時重啟。其破壞程度有可能超過“沖擊波”。值得注意的是，早在4月13日，微軟對此漏洞發布過級別為嚴重的安全公告，4月29日，瑞星互聯網攻防實驗室對此發布過一級安全警報。　　 　　如何快速識別震蕩波(Worm.Sasser)病毒　　 　　5月1日驚現互聯網的“震蕩波 (Worm.Sasser)”病毒來勢洶洶，該病毒是通過微軟的最新高危漏洞 —LSASS 漏洞(微軟MS04-011 公告)進行傳播的，危害性極大，目前 WINDOWS 2000/XP/Server 2003 等操作系統的用戶都存在該漏洞，這些操作系統的用戶只要一上網，就有可能受到該病毒的攻擊。下面就教用戶如何快速識別“震蕩波(Worm.Sasser)”病毒。 　　如果用戶的電腦中出現下列現象之一，則表明已經中毒，就應該立刻采取措施清除該病毒。 　　一、出現系統錯誤對話框 　　被攻擊的用戶，如果病毒攻擊失敗，則用戶的電腦會出現 LSA Shell 服務異常框，接著出現一分鐘後重啟計算機的“系統關機”框。 　　二、系統日志中出現相應記錄 　　如果用戶無法確定自己的電腦是否出現過上述的異常框或系統重啟提示，還可以通過查看系統日志的辦法確定是否中毒。方法是，運行事件查看器程序，查看其中系統日志，如果出現如下圖所示的日志記錄，則證明已經中毒。 　　三、系統資源被大量占用 　　病毒如果攻擊成功，則會占用大量系統資源，使CPU占用率達到100%，出現電腦運行異常緩慢的現象。 　　四、內存中出現名為 avserve 的進程 　　病毒如果攻擊成功，會在內存中產生名為 avserve.exe 的進程，用戶可以用Ctrl Shift Esc 的方式調用“任務管理器”，然後查看是內存裡是否存在上述病毒進程。 　　五、系統目錄中出現名為 avserve.exe 的病毒文件 　　病毒如果攻擊成功，會在系統安裝目錄（默認為 C:\WINNT ）下產生一個名為avserve.exe 的病毒文件。 　　六、注冊表中出現病毒鍵值 　　病毒如果攻擊成功，會在注冊表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 項中建立病毒鍵值： "avserve.exe "="%WINDOWS%\avserve.exe " 。
“震蕩波”與“沖擊波”病毒橫向對比 　　 　　 背景介紹：　　 　　沖擊波（Worm.Blaster）病毒2003年8月12日全球爆發，該病毒由於是利用系統漏洞進行傳播，因此，沒有打補丁的電腦用戶都會感染該病毒，從而使電腦出現系統重啟、無法正常上網等現象。　　 　　2004年5月1日，“震蕩波(Worm.Sasser)”病毒在網絡出現，該病毒也是通過系統漏洞進行傳播的，感染了病毒的電腦會出現系統反復重啟、機器運行緩慢，出現系統異常的出錯框等現象。　　 　　兩大惡性病毒的四大區別：　　 　　一、利用的漏洞不同　　 　　沖擊波（Worm.Blaster）病毒利用的是系統的RPC DCOM漏洞，病毒攻擊系統時會使RPC服務崩潰，該服務是Windows操作系統使用的一種遠程過程調用協議。震蕩波(Worm.Sasser)病毒利用的是系統的LSASS服務，，該服務是操作系統的使用的本地安全認證子系統服務。　　 　　二、產生的文件不同　　 　　沖擊波（Worm.Blaster）病毒運行時會在內存中產生名為msblast.exe的進程，在系統目錄中產生名為msblast.exe的病毒文件，震蕩波(Worm.Sasser)病毒運行時會在內存中產生名為avserve.exe的進程，在系統目錄中產生名為avserve.exe的病毒文件。　　 　　三、 利用的端口不同　　 　　沖擊波（Worm.Blaster）病毒會監聽端口69,模擬出一個TFTP服務器，並啟動一個攻擊傳播線程,不斷地隨機生成攻擊地址，嘗試用有RPC漏洞的135端口進行傳播。震蕩波(Worm.Sasser)病毒會本地開辟後門，聽TCP的5554端口，然後做為FTP服務器等待遠程控制命令，並瘋狂地試探連接445端口。　　 　　四、 攻擊目標不同　　 　　沖擊波（Worm.Blaster）病毒攻擊所有存在有RPC漏洞的電腦和微軟升級網站，而震蕩波(Worm.Sasser)病毒攻擊的是所有存在有LSASS漏洞的電腦，但目前還未發現有攻擊其它網站的現象。 　　 簡要技術分析 　　瑞星反病毒專家王耀華介紹，該病毒會攻擊遠程電腦的445端口，使系統文件崩潰，造成電腦反復重啟。病毒如果攻擊成功，會在C:\WINDOWS目錄下產生名為avserve.exe的病毒體，用戶可以通過查找該病毒文件來判斷是否中毒。 　　“震蕩波”病毒會隨機掃描IP地址，對存在有漏洞的計算機進行攻擊，並會打開FTP的5554端口,用來上傳病毒文件，該病毒還會在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒鍵值進行自啟動。 　　該病毒會使“安全認證子系統”進程━━LSASS.exe崩潰，出現系統反復重啟的現象，並且使跟安全認證有關的程序出現嚴重運行錯誤。
如何防范“震蕩波” 　　首先，用戶必須迅速下載微軟補丁程序，對於該病毒的防范，。 　　瑞星用戶迅速升級殺毒軟件到最新版本，然後打開個人防火牆，將安全等級設置為中、高級，封堵病毒對該端口的攻擊。 　　非瑞星用戶迅速登陸瑞星公司網站下載免費的專殺工具，下載地址為：。 　　如果用戶已經被該病毒感染，首先應該立刻斷網，手工刪除該病毒文件，然後上網下載補丁程序，並升級殺毒軟件或者下載專殺工具。手工刪除方法：查找該目錄C:\WINDOWS目錄下產生名為avserve.exe的病毒文件，將其刪除。