今天是:
  • 澳门皇家娱乐官网: www.68399.com >> 桂医要闻 >> 正文

    桂医要闻

    关于防范w32.sasser蠕虫公告

    来源:网络中心 编辑: www.68399.com :2004-05-08 阅读次数:【字体 |


    发布日期:2004-05-01影响系统:windows 2000, windows server 2003, windows xp蠕虫别名:w32/sasser.worm [mcafee] 震荡波[瑞星]蠕虫信息:    w32.sasser蠕虫是一个利用MicroSoft操作系统的lsass缓冲区溢出漏洞( ms04-011漏洞信息请参见http://www.ccert.edu.cn/announce/show.php?handle=101 )进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会造成很大的冲击。详细信息:蠕虫感染系统后会做以下操作:    1.在系统中创建一个互斥体以保证系统中在任何时候有且只有一个蠕虫进程在运行。        2.将自身拷贝为%windir%avserve.exe或者%windir%avserve2.exe(注意%windir%是个变      量,它根据系统版本和安装路径不同而有所不同,通常情况是c:windows或者c:winnt)        3.修改注册表,在hkey_local_machinesoftwaremicrosoftwindowscurrentversion
    un      项中添加"avserve.exe"="%windir%avserve.exe"值这个操作保证蠕虫在系统重新      启动后能够自动运行。        4.利用abortsystemshutdown函数(系统意外中断错误重起函数)使系统重新启动        5.开启一个ftp服务在tcp 5554端口,用来向其他被感染的机器传送蠕虫程序    6.产生随机的网络地址,尝试连接这些地址的tcp 445端口并发送攻击程序,一旦攻      击成功,蠕虫会在被攻击的机器的tcp 9996端口上创建一个远程的shell,然后利用      这个远程的shell实行命令让被攻击的机器连接到发起攻击的机器的ftp 5554端口      上下载蠕虫文件并运行。这个被下载来的蠕虫文件名是由4-5个随机的阿拉伯数字      和_up.exe组成的(如23423_up.exe)      7.发起128个线程对上面产生的ip地址进行扫描。新的变种会发起1024个线程扫描。蠕虫的       这个操作会占用大量的系统资源,可能使cpu的负载到达100%无法响应系统的正常请求。检测控制方法个人用户控制方法:* 安装相应的补丁程序* 如果无法及时安装补丁程序,请使用防火墙阻断以下端口的数据连接  135/tcp  139/tcp  445/tcp  1025/tcp  5554/tcp  9996/tcp查杀办法:检查是否被感染的方法:如果系统中存在以下特征就表明您已被w32.sasser蠕虫感染了    * 系统进程中存在名为avserve.exe的进程    * 系统目录中存在avserve.exe文件    * 注册表中hkey_local_machinesoftwaremicrosoftwindowscurrentversion
    un项      中存在"avserve.exe"="%windir%avserve.exe值注意蠕虫在传播过程中如果失败,会导致系统产生异常错误重起,如果您的系统发现这种情况,请尽快安装相应的补丁程序。手动清除方法:      1.下载相应的补丁程序到本地硬盘上:         winnt workstation 4.0 中文版+sp6补丁程序中文版  英文版         winnt server 4.0 中文版+sp6补丁程序中文版 英文版          window2000 +(sp1或sp2或sp3或sp4)补丁程中文版  英文版         winxp 中文版+sp1补丁程序中文版 英文版         win2003 补丁程序中文版 英文版            2.结束系统进程中的下列进程          * avserve.exe或者avserve2.exe        * 由4-5个随机的阿拉伯数字和_up.exe组成的名字进程(如23423_up.exe)      3.升级系统的杀毒App到最新的病毒库      4.使用杀毒App进行全盘扫描,发现病毒后选择删除       5.编辑注册表程序删除hkey_local_machinesoftwaremicrosoftwindowscurrentversion
    un项中        的"avserve.exe"="%windir%avserve.exe值      6.安装补丁程序后重新启动机器使用专杀工具清除方法:        1、下载专杀工具 fxsasser.exe        2、关闭其他应用程序运行专杀工具参考网站:http://vil.nai.com/vil/content/v_125007.htmhttp://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
    XML 地图 | Sitemap 地图