山东省博兴县实验中学
首先拷贝自身到windows目录
来源:www.bxsz.net 点击数: 1607 日期:2020-01-10

下载查杀工具

病毒中文名称:冲击波

病毒的英文名称:Worm.Sasser

病毒大小:15,872字节

病毒类型:蠕虫

病毒危害等级:

病毒传播途径:网络

病毒相关系统:Windows NT/2000/XP

该蠕虫利用Microsoft操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和感染,从而导致系统异常和严重的网络拥塞,这是非常有害的。

首先,这是一种类似冲击波的病毒,它使用Microsoft操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。

受感染的操作系统是:

Microsoft Windows NT工作站4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0终端服务器版Service Pack 6

Microsoft Windows 2000 Service Pack 2,Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP和Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64位版本Service Pack 1

Microsoft Windows XP 64位版本2003版

Microsoft Windows Server 2003

Microsoft Windows Server 2003 64位版本

二,病毒的破坏行为:

1.首先将自身复制到Windows目录中,名为%WINDOWS%\ avserve.exe(15,872字节),然后注册到自启动项。

HKEY_LOCAL_MACHINE \ SOFTWARE \微软\的Windows \ CurrentVersion \ Run中

AVSERVE.EXE=%WINDOWS%\ AVSERVE.EXE

2.打开线并在本地打开后门。侦听TCP端口5554,并作为FTP服务器等待远程控制命令。病毒

文件传输以FTP的形式提供。黑客可以通过此端口从用户的计算机上窃取文件和其他信息。

3.该病毒打开了128个扫描线程。根据本地IP地址,随机获取一个IP地址,疯狂测试连接445端口,

尝试利用Windows LSAS中的缓冲区溢出漏洞。一旦攻击成功,对手的机器将被感染。

如果病毒在下一轮中传播,攻击的失败还将导致对手机器缓冲区溢出,从而导致对手机器程序的非法操作。

和系统异常。因为病毒在lsass中溢出。 exe,可以获得管理员权限,并且可以执行任意指令。

病毒占用大量系统和网络资源。中毒机器变慢。因为Windows NT在Windows NT之上的操作系统中被广泛使用。

此漏洞存在,并且病毒在网络上迅速传播,导致网络瘫痪。

清除方式:

邀请用户立即为爱机制作最新补丁程序

手动清除:

(1)打开注册表编辑器并删除以下键值< GT(如果存在);

HKLM软件Microsoft Windows当前版本运行

'avserve.exe'='%WINDOWS%avserve.exe'

(2)打开任务管理器,查看是否有一个名为: avserve.exe的进程并终止它。

(3)删除%WINDOWS%avserve.exe

注意:%WINDOWS%是系统的Windows目录,在Windows 9X/ME/XP下默认为: C: WINDOWS。

Win2K默认为: C: WINNT。