震荡波

更新时间:2023-10-18 09:19

震荡波(Shockwave)是一种电脑病毒,为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播。

病毒介绍

冲击波(Worm.Blaster)病毒是利用微软公司在2003年7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。

该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNSIIS服务遭到非法拒绝等。

病毒信息

病毒英文名:Worm.Sasser

病毒大小:15,872字节

病毒类型:蠕虫病毒

病毒危险等级:★★★★★

病毒传播途径:网络

病毒依赖系统:Windows 2000/XP

变种:Worm.Sasser.b/c/d/e/f

未受影响的系统:

Microsoft Windows 98

Microsoft Windows ME

Microsoft Windows NT 4.0

Microsoft Windows Vista

Microsoft Windows 8

Microsoft Windows 8.1

Microsoft Windows 10

病毒行为

在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。

技术特征

病毒运行机制

清除方法

DOS环境清除

当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.

操作命令集:

C:

msblast.exe

命令操作集:

dir msblast.exe /s/p

3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。

Del msblast.exe

安全模式清除

如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。

当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。

防范方式

下载补丁

首先,用户必须迅速下载微软补丁程序,作为对于该病毒的防范。

专杀工具

金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。非金山或者瑞星和360用户迅速下载免费的专杀工具。

手工删除

如果用户已经被该病毒感染,首先应该立刻断网,手工删除avserve.exe的病毒文件,将其删除。

手工清理

断网打补丁

如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到微软网站下载相应的漏洞补丁程序 ,然后断开网络,运行补丁程序,当补丁安装完成后再上网。

清除内存中的病毒进程

要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三键或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。

删除病毒文件

删除注册表键值

注册表编辑器,找到该病毒键值,然后直接删除。

免责声明
隐私政策
用户协议
目录 22
0{{catalogNumber[index]}}. {{item.title}}
{{item.title}}