Worm.Sasser.c

看板AntiVirus (防毒)作者Armuro (我黑了真的醜..|||)時間20年前 (2004/05/11 04:22)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

※ 引述《Armuro (我黑了真的醜..|||)》之銘言： : 我的電腦首先是不能上網 : 然後重開機後 : 只要進入windows畫面了 : 電腦好似於當機(應該是cpu 100%) : 但是連工作管理員按了都沒有用 : 所以無法確定 : 不知道有沒有其他人也是發生這樣的狀況 : 在重灌前想知道有沒有其他的方法可以解決 : 謝謝自己回: 我中的是 Worm.Sasser.c 以下是詳細資料發作現像：　　‧ 使用AbortSystemShutdown API來防止繫統重啟或關機；　　‧ 它開啟TCP端口5554來建立一個FTP服務器，用來當作感染其他機器的服務器；　　‧ 通過TCP445端口掃描隨機的IP地址，當連接成功時，被感染的計算機向被連接機器發動溢出攻　　　擊，被攻擊的計算機將會自動連接被感染計算機的5554端口並通過FTP下載蠕蟲的副本，名稱一　　　般為4到5個數字加上"_up"的組合，如(78456_up.exe)；　　‧ 由於該病毒本身編寫的漏洞存在，它運行一段時間後會導致LSASS.EXE的崩潰，當L SASS.EXE崩　　　潰時繫統默認會重啟。　　‧ 同時開啟1027個線程攻擊；　　特別說明：和最近出現的大部分蠕蟲病毒不同，該病毒並不通過郵件傳播，而是通過命令易受感染的機器下載特定文件並運行，來達到感染的目的。　　文件名為：avserve2.exe 　　其他細節：該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerabil ity (CAN-2003-0907)]，關於該漏洞的更多信息請訪問： http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx 　　該變種是.b變種的源碼重新編譯後，用同樣的加殼工具加殼。　繫統修改：（點擊查看詳情） A、拷貝自身到： %Windir%\avserve2.exe 在注冊表主鍵： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加如下鍵值: "avserve2.exe" = %SystemRoot%\avserve2.exe B、拷貝其本身至繫統目錄： %System%\<5位隨機數字>_up.exe C、在C盤根目錄創建以下文件： C:\win.log(該文件用以記錄本地主機的IP地址) 　解決方案: 　　‧ 請使用金山毒霸2004年05月02日的病毒庫可完全處理該病毒；　　‧ 手工解決方案　　　　首先，若繫統為WinMe，則請先關閉繫統還原功能；　　　（毒霸論壇：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“繫統還原”功能）　步驟一，使用進程序管裡器結束病毒進程　　右鍵單擊任務欄，彈出菜單，選擇“任務管理器”，調出“Windows任務管理器”窗口。在任務　　管理器中，單擊“進程”標簽，在例表欄內找到病毒進程“avserve2.exe”，單擊“ 結束進程　　按鈕”，點擊“是”，結束病毒進程，然後關閉“Windows任務管理器”；　　步驟二，查找並刪除病毒程序　　通過“我的電腦”或“資源管理器”進入繫統目錄（Winnt或windows)，找到文件　　"avserve2.exe"，將它刪除;然後進入繫統目錄(Winnt\system32或windows\system32) ，找到文　　件"*_up.exe", 將它們刪除；　　步驟三，清除病毒在注冊表裡添加的項　　打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter；　　在左邊的面板中, 雙擊（按箭頭順序查找，找到後雙擊）：　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 　　在右邊的面板中, 找到並刪除如下項目：　　"avserve2.exe" = %SystemRoot%\avserve2.exe 　　關閉注冊表編輯器. -- ○ //\ 冷 |\ 東西掉了趕快撿起來~ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.113.139.180