恶性蠕虫震荡波(Worm.Sasser）技术分析报告

病毒信息：

　　病毒名称: Worm.Sasser

　　中文名称: 震荡波

　　病毒别名: W32/Sasser.worm [Mcafee]

　　病毒长度: 15,872 Bytes

　　病毒类型: 蠕虫

　　受影响系统:WinNT/Win2000/WinXP/Win2003

病毒感染症状:（我的电脑中毒了吗？）

1、莫名其妙地死机或重新启动计算机；

2、系统速度极慢，cpu占用100%；

3、网络变慢；

破坏方式：

　　·利用WINDOWS平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，

堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。

　　·和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器

下载特定文件并运行，来达到感染的目的。

top

　　·文件名为：avserve.exe

解决方案:

　　·请升级毒霸到5月1日的病毒库可完全处理该病毒；

　　·请到以下网址即时升级您的操作系统，免受攻击

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

　　·请打开个人防火墙屏蔽端口：445、5554和9996，防止名为avserve.exe的程序访问网络

　　·手工解决方案：

　　首先，若系统为WinMe/WinXP，则请先关闭系统还原功能；

步骤一，使用进程程序管理器结束病毒进程

　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除病毒程序

　　通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt或windows)，找到文件　　“avser ve.exe”，将它删除;然后进入系统目录(Winnt\system32或windows\system32)，找　　到文件"*_up.exe", 将它们删除；

步骤三，清除病毒在注册表里添加的项

　　打开注册表编辑器: 点击开始——>运行, 输入REGEDIT, 按Enter；

　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　在右边的面板中, 找到并删除如下项目："avserve.exe" = %SystemRoot%\avserve.exe

　　关闭注册表编辑器.

top

“冲击波”病毒技术分析报告

病毒感染症状（我的电脑中毒了吗？）

　1、莫名其妙地死机或重新启动计算机；

　2、IE浏览器不能正常地打开链接；

　3、不能复制粘贴；

　4、有时出现应用程序，比如Word异常；

　5、网络变慢；

　6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！

　　以上这些情形，如果是最近两天才出现的现象，都很有可能是由于受到了“冲击波”病毒的攻击。尤其是第六条符合，那就肯定是已经被冲击波攻击成功了，必须立刻采取杀毒、打补丁的措施。

解决方案

　　第一步：运行金山毒霸“冲击波”专杀工具

　下载地址：【苏州热线】【广通网】【京江热线】【昆明黑马站】【温州热线】【9958下载】【毒霸下载】

　　第二步：安装微软系统补丁（注意：1、仅支持Windows授权产品,盗版用户慎用; 2、Windows产品及其所有补丁版权归微软公司所有。）

　Windows NT 4.0 Server　中文版英文版　（推荐SP6以上版本，先安装SP6：中文版英文版）
　Windows 2000　中文版英文版　（推荐SP3以上版本，先安装SP3：中文版英文版）
　Windows XP 　中文版英文版
　Windows 2003 Server 　中文版英文版

　　第三步：升级最新版毒霸Ⅴ，彻底防杀包括“冲击波”在内的所有病毒

　　如果你是毒霸的用户，请运行在线升级； 我们也给您提供了最新的毒霸Ⅴ试用版
下载地址：【广州一】【广州二】【广州三】【广州四】【北京】【上海】

"诺维格"变种(Mydoom.b)分析报告及解决方案

　　“诺维格”为一种互联网蠕虫，开启Windows Notepad后便随即激活，显示出一些怪异字体。病毒能透过Windows系统自行安装程序，让黑客远程控制计算机。该病毒能自动复制，并以电子邮件传送给共享名录中的Kazaa用户。用户应实时删除含有下列内容标题的电子邮件：

top

　　 寄件者：（伪装）
　　 主题：（随机）
　　 电邮内容：（各式各样）
　　 附件：（含各种不同文件名称，普遍以 EXE、.PIF、.CMD 或 22,528 位的.SCR　ZIP档案为主）

“诺维格”病毒发作现象:

该病毒发作时会对网址“ sco.com ”进行DoS（拒绝服务式）攻击。病毒攻击时会开启多达64个线程，造程系统变慢或是不稳定，并可大量浪费网络资源。病毒还会将被感染的系统做为代理服务器，监听TCP端口3127-3198。

　　病毒变种名称: Worm.Novarg.b
　　 中文名称: 诺维格变种
　　 威胁级别: 3A
　　 病毒别名: SCO炸弹变种 [瑞星]
　　　　　　　 W32/Mydoom.b@MM [McAfee]
　　　　　　　 WORM_MYDOOM.B [Trend]
　　　　　　　 W32.Mydoom.b@mm [Symantec]
　　 受影响系统: Win9x/NT/2K/XP/2003

　　 “诺维格”变种B（又名：SCO炸弹，英文又名:Mydoom.b）使用和原版病毒相同的传播机制，但更恶毒的是该病毒攻击的目标开始转向微软，在向SCO发起DoS(拒绝服务)攻击的同时也向微软的官方网站发起相同的攻击。另外，此次变种还加入了对单机用户的影响，它屏蔽了许多知名反病毒厂商、网络安全厂商的官方网站地址和升级地址，造成一些单机用户的反病毒软件和网络防火墙不能正常升级。

　　 技术特点

　　 A.创建如下文件：
　　 %System%\Ctfmon.dll
　　 %Temp%\Message:这个文件由随机字母通组成。
　　 %System%\Explorer.exe
　　 （注：%system%为系统目录，对于Win9x系统，目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

top

B.添加如下注册表项：

　　 HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
　　 "Explorer" = "%System%\Explorer.exe"

　　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　 "Explorer" = "%System%\Explorer.exe"

　　 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
　　 \InProcServer32
　　 %默认% = "%System%\ctfmon.dll"
　　 以便病毒可随机自启动；

　　 C.%System%\Ctfmon.dll的功能是一个代理服务器，开启后门；

　　 D、病毒在如下后缀的文件中搜索电子邮件地址：
　　 .htm
　　 .sht
　　 .php
　　 .asp
　　 .dbx
　　 .tbb
　　 .adb
　　 .pl
　　 .wab
　　 .txt

　　 E、使用病毒自身的SMTP引擎发送邮件，他优先选择下面的域名服务器发送邮件，如果失败，则使用本地的邮件服务器发送。
　　 gate.
　　 ns.
　　 relay.
　　 mail1.
　　 mxs.
　　 mx1.
　　 smtp.
　　 mail.
　　 mx.
　　 用“系统退信”的方式传播，使人防不胜防；

top

　　 F、可能的邮件内容如下：
　　 From: 可能是一个欺骗性的地址
　　 主题:
　　 Returned mail
　　 Delivery Error
　　 Status
　　 Server Report
　　 Mail Transaction Failed
　　 Mail Delivery System
　　 hello
　　 hi

　　 正文:
　　 sendmail daemon reported:
　　 Error #804 occured during SMTP session. Partial message has been received.
　　 Mail transaction failed. Partial message is available.
　　 The message contains Unicode characters and has been sent as a binary attachment.
　　 The message contains MIME-encoded graphics and has been sent as a binary attachment.
　　 The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

　　 附件可能有双缀,如果有双后缀,则第一个可能的后缀如下:
　　 .htm
　　 .txt
　　 .doc

　　 第二个后缀可能如下:
　　 .pif
　　 .scr
　　 .exe
　　 .cmd
　　 .bat
　　 .zip
　　 如果附件是个exe或scr文件的扩展名,则显示的是一个文本文件的图标

　　 G.复制自身到Kazaa共享目录中，诱使其它KaZaa用户下载病毒。病毒复本的文件名如下:
　　 icq2004-final
　　 Xsharez_scanner
　　 BlackIce_Firewall_Enterpriseactivation_crack

top

　　 ZapSetup_40_148
　　 MS04-01_hotfix
　　 Winamp5
　　 AttackXP-1.26
　　 NessusScan_pro
　　 扩展名可能如下:
　　 .pif
　　 .scr
　　 .bat
　　 .exe

　　 H.修改系统hosts文件,屏蔽用户对以下网站的访问，造成不能升级反病毒等安全类软件:
　　 ad.doubleclick.net
　　 ad.fastclick.net
　　 ads.fastclick.net
　　 ar.atwola.com
　　 atdmt.com
　　 avp.ch
　　 avp.com
　　 avp.ru
　　 awaps.net
　　 banner.fastclick.net
　　 banners.fastclick.net
　　 ca.com
　　 click.atdmt.com
　　 clicks.atdmt.com
　　 dispatch.mcafee.com
　　 download.mcafee.com
　　 download.microsoft.com
　　 downloads.microsoft.com
　　 engine.awaps.net
　　 fastclick.net
　　 f-secure.com
　　 ftp.f-secure.com
　　 ftp.sophos.com
　　 go.microsoft.com
　　 liveupdate.symantec.com
　　 mast.mcafee.com
　　 mcafee.com
　　 media.fastclick.net
　　 msdn.microsoft.commy-etrust.com

top

　　 nai.com
　　 networkassociates.com
　　 office.microsoft.com
　　 phx.corporate-ir.net
　　 secure.nai.com
　　 securityresponse.symantec.com
　　 service1.symantec.com
　　 sophos.com
　　 spd.atdmt.com
　　 support.microsoft.com
　　 symantec.com
　　 update.symantec.com
　　 updates.symantec.com
　　 us.mcafee.com
　　 vil.nai.com
　　 viruslist.ru
　　 windowsupdate.microsoft.com
　　 www.avp.ch
　　 www.avp.com
　　 www.avp.ru
　　 www.awaps.net
　　 www.ca.com
　　 www.fastclick.net
　　 www.f-secure.com
　　 www.kaspersky.ru
　　 www.mcafee.com
　　 www.microsoft.com
　　 www.my-etrust.com
　　 www.nai.com
　　 www.networkassociates.com
　　 www.sophos.com
　　 www.symantec.com
　　 www.trendmicro.com
　　 www.viruslist.ru
　　 www3.ca.com

　　 I.从2004年2月1号开始开启多个线程对www.sco.com发动DOS攻击,从2月3日起对www.microsoft.com发起DOS攻击,直到2004年3月1日结束.

　　 解决方案：

　　 1、请升级您的金山毒霸到2004年1月30日的病毒库，并打开病毒防火墙和邮件防火墙来阻止病毒邮件的入侵；

　　 2、如果收到系统退信时，请不要打开退信中的附件；

　　 3、不要打开陌生人邮件；

　　 4、改变文件的查看方式，让文件显示完整的扩展名，使病毒无处藏身。病毒常用后缀为：.bat, .cmd, .exe, .pif, .scr，.zip。
打开显示完整扩展名的方法：
　　 A、打开资源管理器，单击“工具”，再单击“文件夹选项”

top

　　B、选择“查看”标签项

　　C、找到“隐藏已知文件类型的扩展名”，取消前面的“勾”

　　D、点击“确定”即可。

　　 5、请升级您的金山毒霸到2004年1月27日的病毒库，使全盘完全查杀来清除该病毒；

　　 6、如果您没有金山毒霸，您可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入；

　　 7、所有用户还可以尽快登录到 下载“诺维格”专杀工具，可解除病毒屏蔽的网站。

　　 8、企业用户发现该病毒的形踪，请立即升级病毒库到最新，然后将中毒机器立即隔离出网络来查杀。开启邮件服务器的邮件过滤，将病毒邮件过滤。

9、杀毒完毕后，请下载专杀工具（）帮助修复HOSTS文件，解除病毒屏蔽的网站。

　　 专家提醒：

　　 1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（www.duba.net)上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；

　　 2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　 3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如前段时间的“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　 4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。　　　　　　　　　　

top