震荡波 (震荡波变形金刚)

震荡波(电脑病毒)

震荡波（Shockwave）是一种电脑病毒，为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也是通过微软的最新LSASS漏洞进行传播。

基本介绍

中文名：震荡波外文名：Shockwave套用学科：IT 适用领域範围：计算机适用领域範围：程式套用领域：病毒

介绍

综述

冲击波（Worm.Blaster）病毒是利用微软公司在2003年7月21日公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的作业系统是：Windows2000、XP、Server 2003。
该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反覆重启, 不能收发邮件、不能正常複製档案、无***常浏览网页，複製贴上等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。

病毒描述

病毒英文名：Worm.Sasser病毒大小：15,872位元组
病毒类型：蠕虫病毒
病毒危险等级：★★★★★
病毒传播途径：网路
病毒依赖系统：Windows 2000/XP
变种：Worm.Sasser.b/c/d/e/f
未受影响的系统：
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0Microsoft Windows VistaMicrosoft Windows 8Microsoft Windows 8.1Microsoft Windows 10

破坏方式

在本地开闢后门。监听TCP 5554连线埠，做为FTP伺服器等待远程控制命令。病毒以FTP的形式提供档案传送。黑客可以通过这个连线埠偷窃用户机器的档案和其他信息。 病毒开闢128个扫描执行绪。以本地IP位址为基础，取随机IP位址，疯狂的试探连线445连线埠，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程式非法操作,以及系统异常等。

技术特徵

1.感染系统为：Windows 2000、Windows Server 2003、Windows XP、Windows 72.利用微软的漏洞：MS04-011；3.病毒运行后，将自身複製为%WinDir%\napatch.exe4.在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建："napatch.exe" = %WinDir%\napatch.exe；这样，病毒在Windows启动时就得以运行。5.在TCP连线埠5554建立FTP服务，用以将自身传播给其他计算机。6.随机在网路上搜寻机器，向远程计算机的445连线埠传送包含后门程式的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程式，打开后门连线埠9996。病毒利用后门连线埠9996，使得远程计算机连线病毒打开的FTP连线埠5554，下载病毒体并运行，从而遭到感染。7.病毒还会利用漏洞攻击LSASS.EXE进程，被攻击计算机的LSASS.EXE进程会瘫痪，Windows系统将会有1分钟倒计时关闭的提示。8.病毒在C:\win32.log中记录其感染的计算机数目和IP位址。

发现清除

1. 病毒运行时会建立一个名为："BILLY"的互斥量，使病毒自身不重複进入记忆体，并且病毒在记忆体中建立一个名为："m***last"的进程，用户可以用任务管理器将该病毒进程终止。
2. 病毒运行时会将自身複製为：%systemdir%\m***last.exe,用户可以手动删除该病毒档案。
注意：%Windir%是一个变数，它指的是作业系统安装目录，默认是："C:\Windows"或："c:\Winnt",也可以是用户在安装作业系统时指定的其它目录。
3. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入："windows auto update"="m***last.exe"，进行自启动，用户可以手工清除该键值。
4. 病毒体内隐藏有一段文本信息：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
5. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Windows Server2003系统的RPC服务崩溃，默认情况下是系统反覆重启。
6. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"windowsupdate"发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。

手工清除

一、DOS环境下清除该病毒：
1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C糟的作业系统目录.
操作命令集：
C:
CD C:\windows (或CD　c:\winnt)
2. 查找目录中的"m***last.exe"病毒档案。
命令操作集：
dir m***last.exe /s/p
3.找到后进入病毒所在的子目录，然后直接将该病毒档案删除。
Del m***last.exe
二、 在安全模式下清除病毒
如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜寻C糟，查找m***last.exe档案，找到后直接将该档案删除，然后再次正常启动计算机即可。
给系统打补丁方案：
当用户手工清除了病毒体后，应上网下载相应的补丁程式，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。

如何防範

下载补丁

首先，用户必须迅速下载微软补丁程式，作为对于该病毒的防範。

专杀工具

金山或者瑞星用户迅速升级防毒软体到最新版本，然后打开个人防火墙，将安全等级设定为中、高级，封堵病毒对该连线埠的攻击。非金山或者瑞星和360用户迅速下载免费的专杀工具。

手工删除

如果用户已经被该病毒感染，首先应该立刻断网，手工删除该病毒档案，然后上网下载补丁程式，并升级防毒软体或者下载专杀工具。手工删除方法：查找C:\WINDOWS目录下产生名为avserve.exe的病毒档案，将其删除。

手工清理

断网打补丁如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先到微软网站下载相应的漏洞补丁程式 ，然后断开网路，运行补丁程式，当补丁安装完成后再上网。清除记忆体中的病毒进程要想彻底清除该病毒，应该先清除记忆体中的病毒进程，用户可以按CTRL+SHIFT+ESC三键或者右键单击系统列，在弹出选单中选择“任务管理器”打开任务管理器界面，然后在记忆体中查找名为“avserve.exe”的进程，找到后直接将它结束。删除病毒档案病毒感染系统时会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒档案，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字元串>_UP.exe的病毒档案，用户可以查找这些档案，找到后删除，如果系统提示删除档案失败，则用户需要到安全模式下或DOS系统下删除这些档案。删除注册表键值该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”选单中键入“REGEDIT” 然后调出注册表编辑器，找到该病毒键值，然后直接删除。