打印

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

鬼塚英吉

注册用户

Rank: 2

帖子: 50
积分: 80
注册时间: 2003-10-17

1^# 大中小发表于 2004-5-5 03:52 只看该作者

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）
发现日期：5月1日
　　5月1日早晨6点，由金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。从win98到Windows 2003，所有的Windowsx作系统无一幸免。中招后的系统将开启上百个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。

　　病毒评估
1．病毒中文名：震荡波
2．病毒英文名：Worm.Sasser
3．病毒大小：15,872字节
4．病毒类型：蠕虫病毒
5．病毒危险等级：★★★★★
6．病毒传播途径：网络
7．病毒依赖系统：Windows NT/2000/XP
　
　　病毒的破坏　
　　同最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的，中招用户以ADSL上网用户居多。原因是病毒会扫描随机IP，并向该IP攻击。而ADSL大多是公网IP，所以更容易受到攻击。
Lsass漏洞存在于Windows的所有x作平台，凡是没有打补丁的用户都有可能中招。另一方面，现在是五一长假，很多人都远离电脑出外度假。所以五一过后该病毒很可能会大面积再次爆发。

　　该漏洞影响系统443和636端口：
　　关于443：这是微软的https协议使用的端口，这个端口提供了证书级别的加密http传输服务，可以保证传输过程中的数据安全，在验证方式调用中使用Microsoft SSL库。
　　关于636：636端口是LDAP所使用的端口。微软在Win2000系统中提供了LDAP（轻量级目录访问协议）支持，LDAP中提供三种认证机制，即匿名、基本认证和SASL（Simple Authentication and Secure Layer）认证。其中SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。这是目前Internet上广泛采用的安全服务。LDAP通过StartTLS方式启动TLS服务，可以提供通讯中的数据保密性、完整性保护；通过强制客户端证书认证的TLS服务，同时可以实现对客户端身份和服务器端身份的双向验证。
　　由于漏洞是在Microsoft SSL库产生，所以所有使用SSL库的微软组件均受此漏洞影响。

　　解决/预防方法：　
　　升级已有防火墙的病毒库
　　
　　采用Microsoft Windows NT架构系统的服务器，如无需开放SSL服务的建议关闭。如果SSL系统为内部网络使用，建议从防火墙block目标端口为443、636的数据包。所有Microsoft Windows NT架构Server用户，必须安装以下补丁。
　　
　　　下载专杀工具：
　　“震荡波”专杀工具：http://www.duba.net/download/3/113.shtml
　　
　　立即到微软的站点去下载并安装该漏洞的补丁　http://www.microsoft.com/technet/　security/bulletin/MS04-011.mspx（security 前面的空格自己去一下，要不那里会是个），打开个人防火墙屏蔽端口：445、5554和1068，防止名为avserve.exe的程序访问网络。
　　
　　
　　采用Microsoft Windows NT架构系统的服务器，如无需开放SSL服务的建议关闭。如果SSL系统为内部网络使用，建议从防火墙block目标端口为443、636的数据包。所有Microsoft Windows NT架构Server用户，必须安装以下补丁。
－－“金山毒霸强烈建议所有MS用户立即将系统补丁升级到最新版本，（目前有大量用户只安装了SP4和微软的冲击波补丁，这是很危险的）”
下面是简体中文OS补丁下载地址：
Winnt Workstation:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Winnt Server:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows 2000:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows XP:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows 2003:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE　
“震荡波”专用防火墙
                        【winrar3.0格式下载】
http://www.duba.net/download/othertools/DB_AntiSasser.rar
                        【winzip自解压格式下载】
http://www.duba.net/download/othertools/DB_AntiSasser.exe
　使用说明： 1、下载后解压缩； 2、直接运行AntiSasser.exe，即可启动防火墙。

TOP

martinx

管理员

Rank: 9 Rank: 9 Rank: 9

论坛总版主

帖子: 2302
积分: 3449
注册时间: 2002-11-4

2^# 大中小发表于 2004-5-5 17:43 只看该作者

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

谢谢提醒。

TOP

shadowman

银牌会员

Rank: 6 Rank: 6

论坛斑竹

帖子: 1342
积分: 2375
注册时间: 2003-4-29

3^# 大中小发表于 2004-5-5 21:43 只看该作者

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

是KB835732这个补丁吗？呵呵，一个星期前就打上了。
经常UPDATA，这是去年中“冲击波”后得到的经验！呵呵。。。

TOP

laulaya

新手上路

Rank: 1

帖子: 21
积分: 32
注册时间: 2004-5-7

4^# 大中小发表于 2004-5-7 13:46 只看该作者

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

很毒
大家要打补丁

TOP

“震荡波”病毒惊现网络 互联网再次面临重大威胁 （请大家注意！）

“震荡波”病毒惊现网络 互联网再次面临重大威胁 （请大家注意！）

“震荡波”病毒惊现网络 互联网再次面临重大威胁 （请大家注意！）

“震荡波”病毒惊现网络 互联网再次面临重大威胁 （请大家注意！）

“震荡波”病毒惊现网络 互联网再次面临重大威胁 （请大家注意！）

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）

“震荡波”病毒惊现网络互联网再次面临重大威胁（请大家注意！）