“震荡波”(Worm_Sasser.A-D)病毒专杀工具 040508
软件介绍:
病毒特征:
该病毒主要利用微软SSL安全漏洞进行攻击。微软证书服务中使用的PCT(PrivateCommunicationTechnology)协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞,该协议是基于MicrosoftIIS5WEB平台的MicrosoftSSL(SecureSocketsLayer)库的实现。
生成病毒文件
病毒运行后,在%Windows%目录下生成自身的拷贝,名称为avserve.exe,avserve2.exe等,文件长度为15872字节,和在%System%目录下生成其它病毒文件
例如:
c:win.log:IP地址列表
c:WINNTavserve.exe:蠕虫病毒文件本身
c:WINNTsystem3211113_up.exe:可能生成的蠕虫文件本身
c:WINNTsystem3216843_up.exe:可能生成的蠕虫文件本身
修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下创建
"avserve"=”c:WINNTavserve.exe”
通过系统漏洞主动进行传播
病毒主动进行扫描,当发现网络中存在微软SSL安全漏洞时,进行攻击,然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。
危害性
受感染的系统可能死机或者造成重新启动,同时由于病毒扫描A类或B类子网地址,目标端口是TCP445会对网络性能有一定影响,尤其局域网可能造成瘫痪。并可以在TCP9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。
清除该病毒的相关建议:
安全模式启动
重新启动系统同时按下按F8键,进入系统安全模式
注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,并删除面板右侧的"avserve"="c:winntavserve.exe"
删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"avserve.exe"和"*_up.exe",并将找到的文件删除。
安装系统补丁程序
到以下微软网站下载安装补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
或者在IE浏览器的工具->WindowsUpdate升级系统。
重新配置防火墙
重新配置边界防火墙或个人防火墙关闭TCP端口5554;
该病毒主要利用微软SSL安全漏洞进行攻击。微软证书服务中使用的PCT(PrivateCommunicationTechnology)协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞,该协议是基于MicrosoftIIS5WEB平台的MicrosoftSSL(SecureSocketsLayer)库的实现。
生成病毒文件
病毒运行后,在%Windows%目录下生成自身的拷贝,名称为avserve.exe,avserve2.exe等,文件长度为15872字节,和在%System%目录下生成其它病毒文件
例如:
c:win.log:IP地址列表
c:WINNTavserve.exe:蠕虫病毒文件本身
c:WINNTsystem3211113_up.exe:可能生成的蠕虫文件本身
c:WINNTsystem3216843_up.exe:可能生成的蠕虫文件本身
修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下创建
"avserve"=”c:WINNTavserve.exe”
通过系统漏洞主动进行传播
病毒主动进行扫描,当发现网络中存在微软SSL安全漏洞时,进行攻击,然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。
危害性
受感染的系统可能死机或者造成重新启动,同时由于病毒扫描A类或B类子网地址,目标端口是TCP445会对网络性能有一定影响,尤其局域网可能造成瘫痪。并可以在TCP9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。
清除该病毒的相关建议:
安全模式启动
重新启动系统同时按下按F8键,进入系统安全模式
注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,并删除面板右侧的"avserve"="c:winntavserve.exe"
删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文件"avserve.exe"和"*_up.exe",并将找到的文件删除。
安装系统补丁程序
到以下微软网站下载安装补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
或者在IE浏览器的工具->WindowsUpdate升级系统。
重新配置防火墙
重新配置边界防火墙或个人防火墙关闭TCP端口5554;
下载地址:
相关信息:
中检索"“震荡波”(Worm_Sasser.A-D)病毒专杀工具 040508"
中检索"“震荡波”(Worm_Sasser.A-D)病毒专杀工具 040508"
中检索"“震荡波”(Worm_Sasser.A-D)病毒专杀工具 040508"
中检索"“震荡波”(Worm_Sasser.A-D)病毒专杀工具 040508"
下载说明:
* 我们鼓励用户将网页内容和下载地址转贴发在blog,论坛等。
* 本站为单线程下载,同时下载多个软件将会受到限制。
* 如果您发现该软件不能下载,请查看常见问题或通知管理员,谢谢!
* 如果您制作了好的软件希望能与大家分享,我们愿意和您一起宣传!投稿请点击这里。
赞助商连接
软件搜索
推荐软件
Winrar压缩工具:windows系统下常用的压缩解压工具
卡巴斯基:kaspersky提供了一个广泛的抗病毒解决方案
网际快车:联网上最流行,使用人数最多的一款下载软件
腾讯QQ2008:腾讯QQ不仅仅是 Internet 网络的虚拟寻呼机
MSN Messenger:是微软公司推出的即时消息软件