“震盪波”E變種

中文名稱: 震盪波變種E

病毒別名:

· 堵塞網路。病毒的攻擊行為可讓系統不停的倒計時重啟。

· 和最近出現的大部分蠕蟲病毒不同，該病毒並不通過郵件傳播，而是通過命令易受感染的機器下載特定檔案並運行，來達到感染的目的。

特別說明：

此病毒利用微軟漏洞進行攻擊，會清除其它木馬的鍵值，從病毒信息來看， SkyNet Team已經有此病毒代碼。

該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerability (CAN-2003-0907)]，關於該漏洞的更多信息請訪問：

技術特點：

. 將自身複製到%SystemRoot%\\\\lsasss.exe (通常為C:\\\\WinNT\\\\或C:\\\\Windows)

. 在註冊表主鍵：

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

下添加如下鍵值:

"lsasss.exe" = %SystemRoot%\\\\lsasss.exe

. 在註冊表主鍵：

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

下刪除以下鍵值：

ssgrate.exe

drvsys.exe

Drvddll_exe

此三個鍵值分別為Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三個病毒創建。

. 拷貝其本身至系統目錄：%System%\\\\<4或5位隨機數字>_upload.exe (通常為WinNT\\\\System32或Windows\\\\System32)

. 在C糟根目錄下建立檔案ftplog.txt，記錄最近試圖攻擊的IP及攻擊成功的主機的數目

. 它開啟TCP連線埠1023來建立一個FTP伺服器，用來當作感染其他機器的伺服器。

. 開啟128執行緒掃描隨機IP，在確定目標可達後會試圖連線目標的的TCP 445連線埠.

. 如果連線成功，則被感染計算機向被連線機器發動溢出攻擊，溢出成功則會在被連線機器上打開一個shell，並打開1022連線埠。然後，被攻擊的計算機將會自動連線被感染計算機的1023連線埠並通過FTP下載蠕蟲的副本，名稱一般為4到5個數字加上"_upload"的組合，如(78456_upload.exe).

. 病毒啟動後會每隔一秒調用系統API——AbortSystemShutdown 來限制系統重啟或關機，在兩個小時後顯示<如圖>的信息：

發作現象：

病毒攻擊時會引啟系統的倒計時重啟或出錯

· 請升級毒霸到5月9日的病毒庫可完全處理該病毒；

·請到以下網址即時升級您的作業系統，免受攻擊

·請用個人防火牆禁止連線埠：445、5554和9996，防止名為avserve.exe的程式訪問網路。

· 手工解決方案

首先，若系統為WinXP，則請先關閉系統還原功能；

步驟一，使用進程式管里器結束病毒進程

右鍵單擊系統列，彈出選單，選擇“任務管理器”，調出“Windows任務管理器”視窗。在任務

管理器中，單擊“進程”標籤，在例表欄內找到病毒進程“lsasss.exe”或任何前面是4到5個數字後面緊接著_upload.exe(如 74354_up.exe)的進程，單擊“結束進程按鈕”，點擊“是”，結束病毒進程，然後關閉“Windows任務管理器”；

步驟二，查找並刪除病毒程式

通過“我的電腦”或“資源管理器”進入系統目錄（Winnt或windows)，找到檔案

"lsasss.exe"，將它刪除;然後進入系統目錄(Winnt\\\\system32或windows\\\\system32)，找到文

件"*_upload.exe", 將它們刪除；

步驟三，清除病毒在註冊表里添加的項

打開註冊表編輯器: 點擊開始->運行, 輸入REGEDIT, 按Enter；

在左邊的面板中, 雙擊（按箭頭順序查找，找到後雙擊）：

HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

在右邊的面板中, 找到並刪除如下項目：

"lsasss.exe" = %SystemRoot%\\\\lsasss.exe

關閉註冊表編輯器..