以下的文章主要向大家講述的是安全知識(shí)堂之“震蕩波”的蠕蟲病毒，眾所周知2004年一個(gè)叫“震蕩波”的蠕蟲病毒席卷了全世界，導(dǎo)致數(shù)千萬的電腦癱瘓，數(shù)億的財(cái)產(chǎn)在這次浩劫中付諸東流。

2004年的“毒王”寶座最終被“震蕩波”病毒奪得。2004年“五一”期間及其后的短短的十幾天內(nèi)，一個(gè)叫“震蕩波”的蠕蟲病毒席卷了全世界，數(shù)千萬的電腦癱瘓，數(shù)億的財(cái)產(chǎn)在這次浩劫中付諸東流。“震蕩波”一夜之間成為家喻戶曉的病毒，至今許多電腦用戶仍心有余悸，其毒性之大，造成后果之嚴(yán)重堪稱2004年之最。

“震蕩波”病毒自2004年5月1日首次被截獲以來，短短幾天席卷全球，12天之內(nèi)接連出現(xiàn)6個(gè)變種。“震蕩波”由18歲的德國少年斯文·揚(yáng)森編寫，該病毒跟2003年的“沖擊波”病毒非常類似，同屬于的網(wǎng)絡(luò)蠕蟲，感染W(wǎng)indows 2000、Windows Server 2003、Windows XP系統(tǒng)，它是利用微軟的MS04-011漏洞，通過互聯(lián)網(wǎng)進(jìn)行傳播，但不通過郵件傳播。蠕蟲能自動(dòng)在網(wǎng)絡(luò)上搜索含有漏洞的系統(tǒng)，在含有漏洞的系統(tǒng)的TCP端口5554建立FTP文件服務(wù)器，自動(dòng)創(chuàng)建FTP腳本文件，并運(yùn)行該腳本，該腳本能自動(dòng)引導(dǎo)被感染的機(jī)器下載執(zhí)行蠕蟲程序，用戶一旦感染后，病毒將從TCP的1068端口開始搜尋可能傳播的IP地址，系統(tǒng)將開啟上百個(gè)線程去攻擊他人，造成計(jì)算機(jī)運(yùn)行異常緩慢、網(wǎng)絡(luò)不暢通，并讓系統(tǒng)不停重新啟動(dòng)。

該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同，也是通過微軟的最新LSASS漏洞進(jìn)行傳播，我們及時(shí)提醒廣大用戶及時(shí)下載微軟的補(bǔ)丁程序來預(yù)防該病毒的侵害。如果在純DOS環(huán)境下執(zhí)行病毒文件，會(huì)顯示出譴責(zé)美國大兵的英文語句。

具體技術(shù)特征如下：

1.感染系統(tǒng)為：Windows 2000、Windows Server 2003、Windows XP

2.利用微軟的漏洞：MS04-011;補(bǔ)丁下載地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx

3.病毒運(yùn)行后，將自身復(fù)制為%WinDir%\napatch.exe

4.在注冊表啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創(chuàng)建："napatch.exe" = %WinDir%\napatch.exe;這樣，病毒在Windows啟動(dòng)時(shí)就得以運(yùn)行。

5.在TCP端口5554建立FTP服務(wù)，用以將自身傳播給其他計(jì)算機(jī)。

6.隨機(jī)在網(wǎng)絡(luò)上搜索機(jī)器，向遠(yuǎn)程計(jì)算機(jī)的445端口發(fā)送包含后門程序的非法數(shù)據(jù)，遠(yuǎn)程計(jì)算機(jī)如果存在MS04-011漏洞，將會(huì)自動(dòng)運(yùn)行后門程序，打開后門端口9996。病毒利用后門端口9996，使得遠(yuǎn)程計(jì)算機(jī)連接病毒打開的FTP端口5554，下載病毒體并運(yùn)行，從而遭到感染。

7.病毒還會(huì)利用漏洞攻擊LSASS.EXE進(jìn)程，被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會(huì)癱瘓，Windows系統(tǒng)將會(huì)有1分鐘倒計(jì)時(shí)關(guān)閉的提示。

8.病毒在C:\win2.log中記錄其感染的計(jì)算機(jī)數(shù)目和IP地址

如何防范“震蕩波”

首先，用戶必須迅速下載微軟補(bǔ)丁程序，對(duì)于該病毒的防范，http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx。

金山或者瑞星用戶迅速升級(jí)殺毒軟件到最新版本，然后打開個(gè)人防火墻，將安全等級(jí)設(shè)置為中、高級(jí)，封堵病毒對(duì)該端口的攻擊。

非金山或者瑞星用戶迅速下載免費(fèi)的專殺工具，下載地址為：http://dl.pconline.com.cn/html/1/8/dlid=13058&dltypeid=1&pn=0&.html。

如果用戶已經(jīng)被該病毒感染，首先應(yīng)該立刻斷網(wǎng)，手工刪除該病毒文件，然后上網(wǎng)下載補(bǔ)丁程序，并升級(jí)殺毒軟件或者下載專殺工具。手工刪除方法：查找該目錄C:\WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將其刪除。上述的相關(guān)內(nèi)容就是對(duì)安全知識(shí)堂之“震蕩波”的蠕蟲病毒的描述，希望會(huì)給你帶來一些幫助在此方面。

【編輯推薦】

1. 首款利用SSH漏洞的iPhone蠕蟲病毒現(xiàn)身
2. 如何在局域網(wǎng)內(nèi)防止蠕蟲病毒的傳播？
3. Conficker蠕蟲病毒并未終結(jié)
4. UTM跨界組合情景視頻：蠕蟲病毒防御
5. 美國宅男高中生連放兩只Twitter蠕蟲病毒