瑞星发布震荡波E病毒报告 “网络天空”团队再次作恶
瑞星发布震荡波E病毒报告 “网络天空”团队再次作恶--------------------------------------------------------------------------------
www.rising.com.cn2004-5-9 18:37:00信息源:瑞星公司
广告
发现日期:5月9日
病毒中文名:震荡波变种E
病毒英文名:Worm.Sasser.e
病毒危险等级:★★★★★
传播途径:网络
行为类型:Windows下的蠕虫病毒
危害系统:Windows NT/2000/XP
概述:
Worm.Sasser的变种。开辟128个线程扫描网络。此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性。
病毒作者在此个变种里写入信息,宣称一个名叫“SkyNet Team”的组织编写了此病毒变种。这似乎意味着,瑞星反病毒工程师的预测不幸成为现实:德国警方逮捕“震荡波”病毒的行为并没有能够阻止别人继续编写此病毒的变种,病毒代码可能已经外泄。
一、病毒的破坏
病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞,该病毒在网络上传播迅速,造成网络瘫痪。攻击失败会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统崩溃等。
二、技术细节分析
1.首先拷贝自身到windows目录,名为%WINDOWS%\skynetave.exe(16384字节),然后登记到自启动项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsasss.exe = %WINDOWS%\lsasss.exe
病毒删除键名为:Drvddll_exe,drvsys.exe,ssgrate.exe的注册表键值。
2.开辟线程,在本地开辟后门。监听TCP 1023端口(支持USER、PASS、PORT、RETR和QUIT命令),该线程实现一个ftp服务功能,被攻击成功的系统将利用从当前系统把病毒文件复制过去。达到传播的目的。
3.病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,如果试探成功,则运行一个新的病毒进程对该目标进行攻击,把该目标的ip地址保存到“c:\ftplog.txt”。
4.利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出,可以获取管理员的权限,执行任意指令。
5.溢出代码会主动从原机器下载病毒程序,运行起来,开始新的攻击。
6.病毒调用系统的函数阻止系统关闭,并在2小时后(病毒认为完成所有的攻击“任务”时)将显示一个消息框。提示信息如下:
1. Your computer is affected by the MS04-011 vulnerability。(你的计算机已经因MS04-011漏洞而被感染。)
2. It can be that dangerous computer viruses similar。the Blaster worm infect your computer..(和冲击波同样危险的病毒可能会感染你的计算机)
3. Please update your computer with the MS04-011 LSASS patch..
from the www.microsoft.com website..(请通过微软网站升级MS04-011 LSASS补丁)
4. This is an message from the SkyNet Team for..
malicious activity prevention(此消息由SKYNET小组发布,以阻止恶意行动。)
四、病毒解决方案:
1. 进行升级
瑞星公司将于当天进行升级,升级后的软件版本号为16.25.31,该版本的瑞星杀毒软件可以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能。
2. 使用专杀工具
鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到:http://download.rising.com.cn/zsgj/RavSasser.exe 网址进行免费下载,并进行该病毒的清除。
3. 使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途径,用户可以登陆网址:http://online.rising.com.cn/来使用在线杀毒产品,或者登陆网址:http://go.rising.com.cn来使用下载版产品。
4. 打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
5. 手动清除
请用户立即给系统打最新的补丁
http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
打补丁需要重新启动,如果机器不能重新启动(比如核心网络服务器),
可以下载瑞星的内存专杀(全球独家提供)。
手动清除方法:
(1)打开注册表编辑器,删除如下键值<如果存在的话>:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"lsasss.exe" = "%WINDOWS%\lsasss.exe"
(2) 打开任务管理器查看是否存在进程名为: lsasss.exe,终止它
(3)删除%WINDOWS%\lsasss.exe
注:%WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS,
Win2K下默认为:C:\WINNT。
注:%SYSDIR%位Windows系统的安装目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYSTEM,Win2K下默认为:C:\WINNT\SYSTEM32。
打了本站补丁就OK了 听说微软抓到病毒制造者了. “震荡波”疫情刚有缓解“震荡波杀手”继续作恶
www.rising.com.cn2004-5-11 11:05:00信息源:瑞星公司
广告
[快讯]5月10日瑞星公布疫情报告,“震荡波”病毒造成的疫情刚有所缓解,但5月11日,瑞星全球反病毒监测网却又率先截获一个可以干掉“震荡波”的恶性蠕虫病毒,并命名为“震荡波杀手”(worm.cycle.a)病毒。据瑞星反病毒部门负责人蔡骏分析,“震荡波杀手”还是利用微软的LSASS漏洞进行传播,该病毒虽然会清除“震荡波”和“冲击波”,但同样会造成网络堵塞和系统异常重启,传播感染速度可能会非常快。另外,病毒在预定的时间到来时,还会对BBC.COM、BBCNEWS.com和IRNA.com(伊斯兰共和新闻社)进行拒绝服务攻击。
据瑞星反病毒部门的分析,从病毒体里留下的信息来看,该病毒的作者可能是对伊朗政府不满的人,他在病毒里公布信息说对伊朗的人权和自由不满意。从病毒会攻击IRNA.com和BBCN.com的行为来看,病毒作者的目的很可能是以病毒攻击的方式来发泄对伊朗政府的不满。
病毒跟“震荡波”一样利用微软的LSASS漏洞传播,因此只会影响Windows 2000/XP系统。随机生成IP地址,对这些地址的445端口进行扫描,如果成功,则将自己复制过去,试图清除“震荡波”和“冲击波”病毒在系统中的进程。
病毒会检测当前系统时间,如果是5月18日,则对www.BBC.com、www.irna.com 和 www.bbcnews.com进行DoS(拒绝服务)攻击。蔡骏介绍说,目前尚且没有针对此类攻击的有效防御手段,今年年初瑞星截获的SCO炸弹(又称Mydoom)病毒就曾利用此攻击手段成功的瘫痪了SCO公司的网站。
针对此恶性病毒变种,瑞星公司将在5月11日下午进行升级,瑞星杀毒软件16.26.10版即可彻底查杀此病毒。瑞星反病毒工程师提醒广大用户尽快升级自己的瑞星软件,以免给自己造成重大损失。手中没有杀毒软件的用户可以使用瑞星在线杀毒或瑞星杀毒软件下载版清除这些病毒。用户还可以随时拨打瑞星反病毒急救电话:010-82678800来寻求帮助。
病毒报告:“震荡波杀手”(Worm.Cycle.a)
--------------------------------------------------------------------------------
www.rising.com.cn2004-5-11 14:12:00信息源:瑞星公司
发现日期:5月11日
利用微软的LSASS漏洞进行传播,该病毒会清除“震荡波”和“冲击波”,但同样会造成网络堵塞和系统异常重启,传播感染速度可能会非常快。另外,病毒在系统时间为5月18日时,对BBC.COM、BBCNEWS.com和IRNA.com(伊斯兰共和新闻社)进行拒绝服务攻击。从病毒体里留下的信息来看,该病毒的作者可能是对伊朗政府不满的人,他在病毒里公布信息说对伊朗的人权和自由不满意,以病毒攻击的方式来进行发泄。
一、病毒评估
1.病毒中文名:震荡波杀手
2.病毒英文名:Worm.Cycle.a
3.病毒别名: W32.Cycle(Symantec)
4.病毒大小:10,240字节
5.病毒类型:蠕虫病毒
6.病毒危险等级:★★★★
7.病毒传播途径:网络,文件感染
8.病毒依赖系统:Windows NT/2000/XP
二、技术细节
病毒运行后将自己复制到%WINDIR%\system目录下,文件名:svchost.exe并在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run及HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru中加入自己的键值:Generic Host Service,病毒也将自己注册成服务以这些方式达到随系统启动而运行的目的。
病毒将建立一些病毒使用的互斥量,使中了该病毒的系统将对一些病毒有免疫力。这些互斥量为:Jobaka3、Jobaka3l、SkynetSasserVersionWithPingFast、JumpallsNlsTillt当病毒发现系统进程存在以下进程名时将杀死该进程:msblast.exe、avserve.exe、avserve2.exe、skynetave.exe接着病毒将启动一些功能线程实现病毒的一些动作。
1.tftp服务器:
病毒将监听69端口,实现一个tftp服务器。用来在利用漏洞攻击成功时把病毒文件传到被攻击系统上以达到传播的目标。
2.利用漏洞对和当前系统存在连接的系统进行攻击
病毒得到所有已和当前系统建立TCP联接的系统地址,并尝试利用漏洞MS-4011对其进行攻击。
3.后门:
病毒在监听TCP的 3332端口,以实现一个后门服务。(该功能没有完成,可能在下一个版本里进行完善。)
4.对局域网进行攻击
病毒得到当前系统的IP地址,并以此为基数进行计算,尝试利用漏洞MS-4011对其得到的ip地址进行攻击。
5.Dos攻击
当系统时间为5月18号以后时,病毒将对www.irna.com或www.bbc.com,www.bbcnews.com发动dos攻击.
6.病毒还将在%WINDIR%目录下生成一个名为:cyclone.txt的文件文件内容为:
Hi,My name is Cyclone and I live in Iran,
and I want to speak with you about problems that we have in iran:
A.In Iran we don't have any kind of freedom, because we have islamic republic in iran:
1.we can't speak freely about regime, we can't speak even a little bit against them!!!
2.I have to be a moslem otherwise they don't care about me!
3.we CAN'T even wear the clothes and styles that we wants!
4.women MUST wear a cloth that no one can even see their hair!!!
5.they do not allow our national celebrations to be held, they beat us!!
6.Many more...
B.The human rights is not implemented in Iran and there is no justice,
1.Lynch is very common in Iran. If you are against the regime then you may silently killed, or if there is a tribunal, you can't say anything, everyone works against you there.
2.1985-1990, the Islamic Republic of IRAN has been killed more than 10,000 Iranian youngs. that has been comfirmed by the documentations! This people killed without any tribunal or any proof.
3.there is a punishment that is used so much during this years, in this punishment, the person who must be killed stand in a hole then others attack him with stones, this will continue until he/she dead. there is some pictures and videos that shows this terrible torture!
4.Many more...
C.Misery and poverty grows in Iran, because the islamic republic leaders steal the money, they stolen the money that provided by selling oil, and then the people must die because they don't have enough money to even buy a bread!!!
D.Misery and poverty cause vice to grow, you see many young people in Iran using drugs and I think this is also a trick by the government to not allow us to arise against them!
E.Islamic republic gave Iran a bad name. before islamic republic we can travel
anywhere in the world without any problem but now we have so much problems if we want to travel a foreign country, anyone think that we are terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE ISLAMIC REPUBLIC OF IRAN IS TERRORIST.
The people of Iran trying to arise, but failed to do. About one year ago, Iranian people try to say to the world that we don't need Islamic republic but the government and police beat the people who try to tell the truth and they killed some people.
You see that they don't even care about their own people, think what happen if they gain access to an ATOMIC BOMB!!! it's very dangerous for the world.
With all of this conditions and injustices, european governments still support islamic republic, they say that they just care about their own country!
and I want to show them our WRATH!
All of the european people are my friends and I never want to harm them, just government and the Politicians!
If you protest against iraq war and say why there must be a war against iraq, and if you do this for humanity, please do anything that you can do for helping iranian people.
at least make your country not to support islamic republic anymore, I'm deadly sure that if european countries do not support islamic republic. it will be destroyed after 3-6 months!
so please help!I don't want to damage, I just want my country to grow, to improve!!! I have no other way to tell this words to world, sorry!!
1. 进行升级
瑞星公司将于当天进行升级,升级后的软件版本号为16.26.10,该版本以上的瑞星杀毒软件可以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http://www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能。
2. 使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途径,用户可以登陆网址:http://online.rising.com.cn/来使用在线杀毒产品,或者登陆网址: http://go.rising.com.cn/来使用下载版产品。
3. 打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
4. 手动清除
(1) 打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Generic Host Service"="%WINDIR%\system\svchost.exe"
(2)打开任务管理器查看是否存在进程名为: svchost.exe(文件为%WINDIR%\system\svchost.exe)终止它
(3)将%WINDIR%\system目录下的文件: svchost.exe删除
注:%SYSDIR%位Windows系统的安装目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYSTEM,Win2K下默认为:C:\WINNT\SYSTEM32。
五、安全建议:
1. 建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使您的计算机更加安全。
2. 关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。
3. 经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。
4. 使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报, 这样才能真正保障计算机的安全
页:
[1]