震荡波

clement

    据新华社电 德国警方8日宣布，他们前一天拘捕了一名涉嫌制造“震荡波”蠕虫病毒的18岁德国青年。目前，这一病毒已在世界范围内入侵大量电脑，并在澳大利亚、英国及我国香港等地区导致某些部门办公系统瘫痪。
　　德国警方发言人弗兰克·费德劳说，犯罪嫌疑人家住德国北部城镇瓦芬森，是一名高中生。德国警方7日对他的住处进行了搜查。“震荡波”是一种因特网蠕虫病毒，可以自动在因特网上寻找微软视窗操作系统（Windows）最高级别系统漏洞并进行传播、感染和破坏。
　　自“震荡波”5月1日开始传播以来，全球已经有数百万台电脑报告感染了这一蠕虫病毒。3日下午，欧盟委员会总部、欧盟新闻发布和通讯部门以及多个执行委员会均受到“震荡波”的攻击。澳大利亚的铁路系统也因遭该病毒入侵而部分瘫痪，导致部分列车晚点或停发。4日，英国一个机场的电脑登机系统遭到该病毒入侵，导致20个航班晚点。

CCERT关于防范W32.Sasser蠕虫公告   
发布日期：2004-05-01
影响系统：Windows 2000, Windows Server 2003, Windows XP
蠕虫别名：W32/Sasser.worm [McAfee] 震荡波[瑞星]
蠕虫信息：
    W32.Sasser蠕虫是一个利用微软操作系统的Lsass缓冲区溢出漏洞（ MS04-011漏洞信
息请参见http://www.ccert.edu.cn/announce/show.php?handle=101 ）进行传播的
蠕虫。由于该蠕虫在传播过程中会发起大量的扫描，因此对个人用户使用和网络运行都会
造成很大的冲击。
详细信息：
蠕虫感染系统后会做以下操作：
    1.在系统中创建一个互斥体以保证系统中在任何时候有且只有一个蠕虫进程在运行。
   
    2.将自身拷贝为%Windir%\avserve.exe或者%Windir%\avserve2.exe（注意%windir%是个变
      量，它根据系统版本和安装路径不同而有所不同，通常情况是c:\windows或者c:\winnt）
   
    3.修改注册表，在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      项中添加"avserve.exe"="%Windir%\avserve.exe"值这个操作保证蠕虫在系统重新
      启动后能够自动运行。
   
    4.利用AbortSystemShutdown函数（系统意外中断错误重起函数）使系统重新启动
   
    5.开启一个FTP服务在TCP 5554端口，用来向其他被感染的机器传送蠕虫程序
    6.产生随机的网络地址，尝试连接这些地址的TCP 445端口并发送攻击程序,一旦攻
      击成功，蠕虫会在被攻击的机器的TCP 9996端口上创建一个远程的shell,然后利用
      这个远程的shell执行命令让被攻击的机器连接到发起攻击的机器的FTP 5554端口
      上下载蠕虫文件并运行。这个被下载来的蠕虫文件名是由4-5个随机的阿拉伯数字
      和_up.exe组成的（如23423_up.exe）
     
     随机的地址按如下规则生成：
        * 50%的机会是由系统随机生成的
        * 25%的机会随机生成的ip地址的前八位（二进制）与本地的IP地址的前八位
          相同，也就是说在被感染IP地址相同的A类地址段中随机生成
        * 25%的机会随机生成的ip地址的前16位（二进制）与本地IP地址的前十六
         位相同，也就是说在被感染IP地址相同的B类地址中随机生成
     7.发起128个线程对上面产生的IP地址进行扫描。新的变种会发起1024个线程扫描。蠕虫的
       这个操作会占用大量的系统资源，可能使CPU的负载到达100%无法响应系统的正常请求。

检测控制方法
个人用户控制方法：
* 安装相应的补丁程序
* 如果无法及时安装补丁程序，请使用防火墙阻断以下端口的数据连接
  135/tcp
  139/tcp
  445/tcp
  1025/tcp
  5554/tcp
  9996/tcp
网络控制方法：
  在边界路由器上添加如下规则阻断445端口上的数据
  access-list 110 deny tcp any any eq 445
查杀办法：
检查是否被感染的方法：
如果系统中存在以下特征就表明您已被W32.Sasser蠕虫感染了
    * 系统进程中存在名为avserve.exe的进程
    * 系统目录中存在avserve.exe文件
    * 注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项
      中存在"avserve.exe"="%Windir%\avserve.exe值
注意蠕虫在传播过程中如果失败，会导致系统产生异常错误重起，如果您的系统
发现这种情况，请尽快安装相应的补丁程序。
手动清除方法：
      1.下载相应的补丁程序到本地硬盘上：
winnt workstation 4.0 中文版+sp6补丁程序中文版 繁体中文版 英文版
winnt server 4.0 中文版+sp6补丁程序中文版 繁体中文版 英文版
window2000 +（sp1或sp2或sp3或sp4）补丁程中文版 繁体中文版 英文版
winxp 中文版+sp1补丁程序中文版 繁体中文版 英文版
win2003 补丁程序中文版 繁体中文版 英文版
      
      2.结束系统进程中的下列进程  
        * avserve.exe或者avserve2.exe
        * 由4-5个随机的阿拉伯数字和_up.exe组成的名字进程（如23423_up.exe）
      3.升级系统的杀毒软件到最新的病毒库
      4.使用杀毒软件进行全盘扫描，发现病毒后选择删除

      5.编辑注册表程序删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中
        的"avserve.exe"="%Windir%\avserve.exe值
      6.安装补丁程序后重新启动机器
使用专杀工具清除方法：
        1、下载专杀工具 FxSasser.exe
        2、关闭其他应用程序运行专杀工具
参考网站：
http://vil.nai.com/vil/content/v_125007.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
中国教育和科研计算机网紧急响应组（CCERT）
2004 年5月1日