文档介绍:常见计算机病毒简介
王梁
震荡波
冲击波
蠕虫王
求职信
红色代码
尼姆达
震荡波
2004年“五一”黄金周第一日,一个新的病毒——“震荡波()”开始在互联网上肆虐。该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停地进行倒计时重启。其破坏程度有可能超过“冲击波”。
病毒特征
该病毒会通过FTP的5554端口攻击电脑,一旦攻击失败,会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成功,会将文件自身传到对方机器并执行病毒程序,然后在C:\,继续攻击下一个目标,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run中建立:""=%windows%\。
预防与清除
建议用户立即到微软的站点去下载并安装该漏洞的补丁;立即升级反病毒软件的病毒数据库;打开个人防火墙屏蔽端口:5554和1068,。
如已经感染,应立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\,将其删除。
感染后的症状
莫名其妙地死机或重新启动计算机;
IE浏览器不能正常地打开链接;
不能复制、粘贴;
有时出现应用程序,比如Word异常;
网络变慢;
最重要的是,在任务管理器里有一个叫“”的进程在运行!
专攻微软漏洞
“冲击波”病毒是利用微软公司公布的Windows操作系统RPC(Remote Procedure Call ,远程过程调用)漏洞进行攻击和传染的。RPC是Windows操作系统使用的一种远程过程调用协议,它提供了一种远程间交互通信机制。通过这一机制,在一台电脑上运行的程序可以顺畅地执行某个远程系统上的代码。由于微软的RPC部分在通过TCP/IP处理信息交换时存在一个漏洞,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
预防与清除
Windows 2002补丁3 sp3 132M
Windows XP 补丁 la 143M
“冲击波”Windows2000微软补丁
“冲击波”WindowsXP微软补丁 Xp sp1