【赛迪网讯】“冲击波”余波未了,“震荡波(Worm.Sasser)”又呈汹涌之势、横行而来!如果计算机被“震荡波”击中的话,轻则出现系统反应“迟钝”,无法进行正常的网络访问,严重的话,可能导致系统不停地重新启动,甚至被迫关机。更为可恶的是,凡被“震荡波”击中的系统,都会自动打开128个线程,对网上的其他系统进行新的攻击。“震荡波”究竟是何许角色呢?该如何防范呢?
撩开“震荡波”的面纱
震荡波病毒是一种利用Windows的缓冲区溢出漏洞(LSASS 漏洞)进行快速传播和扩散的蠕虫病毒,凡是使用Windows ME/2000/XP/2003等操作系统的用户,在上网冲浪时都有可能被“震荡波”病毒波及到。
我们该如何准确地识别出系统是否已经遭受“震荡波”病毒的袭击呢?可以按照下面的方法,对系统进行检查:
打开系统任务管理器窗口,看看“进程”标签页面中,是否有avserve、skynetave开头的进程名,或者以“_up.exe”结尾的进程名,要是发现的话,就说明该系统已经中招;
倘若系统突然弹出“系统关机”提示框,并且提示框中出现类似“system32lsass.exe意外终止”字样的话,也说明您的系统已经遭受到震荡波的袭击;
另外,搜索一下系统目录,看看是否能够找到“avserve.exe”文件,或者打开注册表子键 HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,看看Run下面是否有“avserve.exe =%WINDOWS %avserve.exe”或“avserve2.exe=%WINDOWS% avserve2.exe”键值,如果有的话,同样说明震荡波病毒已经攻击成功。
围剿“震荡波”
面对“震荡波(Worm.Sasser)”病毒的肆虐横行,我们该如何有效抑制并清除它呢?
首先,把系统切换到DOS命令行状态,执行“shutdown.exe -a”命令,这样,系统中所有企图关机的进程都将自动强行中断。
然后,可以到相关网站去下载对应系统的漏洞补丁,再断开Internet连接。正确安装好漏洞补丁,重新启动计算机后,再将系统接入到Internet,这样系统就不会继续遭受该病毒的袭击。
接着,可以到某些防病毒厂商的网站下载并安装“震荡波”病毒的专杀程序,运行并扫描系统后,就能将“震荡波”病毒彻底消灭。
倘若需要手工清除该病毒的话,可以按如下步骤进行:
1、打开系统“任务管理器”窗口,在进程标签页面中,找到前面所提到的关键进程名,逐一关掉进程。
2、打开系统的文件搜索窗口,找到系统目录中的avserve.exe、avserve2.exe文件,以及所有以“_up.exe”结尾的文件,并将它们全部删除。要是在Windows状态下无法删除这些文件,可以将系统切换到安全模式或DOS环境下,强行将它们删除。
3、依次展开注册表子键HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentversionRun,并在Run子键下面,找到病毒键值“%WINDOWS%avserve.exe”或“%WINDOWS%avserve2.exe”,并将它们直接删除。
提示:如果您使用的Windows ME或Windows XP操作系统,那么在手工清除病毒之前,应将System Restore功能暂时停用,等到病毒全部清除干净后,再恢复该功能。
除了及时打好Windows系统的漏洞补丁外,还应该注意不要打开邮件附件中有关“震荡波”病毒的任何信息。而且,还要及时在系统中安装并启用防火墙,例如到http://www.iduba.net/download/othertools/DB_AntiSasser.exe处,下载金山“震荡波”专用防火墙。安装好该防火墙后,最好再用“震荡波”病毒专杀工具重新扫描一下系统,看看该病毒是否又“卷土重来”。只有做到这些,您的系统才能真正远离“震荡波”的袭击。
路由器端巧防范
震荡波病毒会在本地开辟后门,监听TCP 5554端口作为FTP服务器等待远程控制命令,并以FTP的形式提供文件传送,黑客还可以通过这个端口偷窃用户机器的文件和其他信息。
病毒会开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂地试探连接445端口,试图利用Windows的LSASS 中存在的缓冲区溢出漏洞进行攻击,一旦攻击成功,将导致对方机器感染此病毒并进行下一轮的传播,即使攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作或系统异常。
根据震荡波病毒传播原理,只要堵住445号端口,就完全可以减少震荡波病毒的传播。可以在路由器或交换机上设置访问控制列表来防止或减少震荡波病毒的传播,下面以华为2611路由器为例,说明以下具体做法(交换机上的方法相同,只是命令不同):
1、设置访问控制列表
acl 102 match-order config
rule normal permit tcp source any destination any destination-port not-equal 445
rule normal deny tcp source any destination any
2、 在以太网口上应用访问控制列表
int e0
firewall packet-filter 102 outbound
震荡波并不可怕
最近,谈起病毒,没有人会忽略震荡波,它的破坏力和传播能力实在惊人。而且,自从4月30日凌晨震荡波首次被发现以来,仅5月2日、5月4日、5月9日、5月11日便分别出现了B、C、D、E、F、“清除者”等多个变种,平均每两天就会出现一个变种。
震荡波所以具有如此巨大的破坏力,趋势科技全球防病毒研究暨技术支持中心TrendLabs认为,主要原因有三个:
1. 一旦入侵得逞,无法终止攻击:震荡波并不会因为成功入侵系统而罢手,反而会对同一个系统不断地入侵,连带影响系统的带宽。
2.网络带宽殆尽,数据运送停摆:其实,震荡波并没有刻意破坏数据,或窃取商务机密,但由于网络带宽都被不断用来搜寻LSASS漏洞而停摆,因而,只要企业网络内部有一台机器遭受感染,企业局域网就等于被黑客绑架了。
3. 传统解决方案,缓不济急:由于震荡波不需要寄生在任何程序中即可进行破坏行为,而解毒的方式却是侦测到该程序并将其删除,传统防毒软件无法及时排除。
对于震荡波,安全厂商们进行了大量的幕后工作,在病毒爆发的第一时间内采取相应措施,许多公司还在五一期间为广大用户免费发放“震荡波”应急光盘,免费的专杀工具也出现在各大安全厂商的网站上。
所谓“时势造英雄”,在震荡波到来之际,许多安全产品都凸现出与众不同的一面。趋势科技的网络病毒墙Network VirusWall就是其中之一。作为一款病毒疫情的硬件防护设备,NVW可以协助企业抵御蠕虫之类的网络病毒,在爆发病毒疫情时隔绝高危险的网络脆弱环节,在网络层部署由趋势科技提供的安全防制策略,并能在缺乏防毒保护的装置等潜在感染源连接网络时,予以隔离和清除,让用户可以彻底摆脱震荡波之类的病毒。冠群金辰也在5月8日发布了专门针对震荡波推出的网关防毒新品KSG过滤网关4.0。这款产品可以在网关处识别并阻断通过电子邮件方式传播的病毒,能够识别出蠕虫传播时所采用的各种攻击手段,并辨别、处理蠕虫和病毒留下的后门程序,对它们造成的大量垃圾邮件也可以进行有效的过滤,把冠群金辰所倡导的“立体防毒”理念发挥得淋漓尽致。
实际上,在震荡波的威胁再次让大家争入忙乱之际,很多企业却和往常一样平静。中蓝韩锐早在5月1日便检测并解决了该病毒,及时在网站上升级了病毒定义文件,提供了微软补丁的下载方式,并及时告知了使用蓝锐杀毒软件的用户,使大部分蓝锐杀毒软件的用户免受震荡波的影响。购买赛门铁克白金服务或采用了赛门铁克集成的安全产品,如赛门铁克集成防火墙设备Symantec Gateway Security以及集成的防病毒产品Symantec Client Security的用户也基本没有受到它的影响。
同样,绿盟科技的签约客户群也没有受到震荡波的侵扰,因为绿盟科技在微软发布安全公告后、震荡波爆发前、震荡波大规模传播过程中、以及五一长假结束后的工作启动高峰期前均开展了大量的安全服务工作,协助用户降低了风险,有效地避免了蠕虫病毒的威胁。同样,启明星辰的行动也很快,早在漏洞和补丁程序发布之际,便更新了其入侵检测系统的漏洞库,天阗入侵检测系统在震荡波爆发且未命名时,就报出“出现多蠕虫攻击事件”,当它占领某台主机并以其为宿主发动新的攻击时,更是准确地报出“LSASS蠕虫事件”,让用户能够提早做出防范。
不过,对于病毒防范,仅有好的武器是不行的。相信许多朋友早在微软发布重大漏洞的当天,或者第二天,就收到安全厂商发出的紧急提醒邮件。只不过,大多数人都没有及时打补丁,才会在震荡波来袭之时中招。因而,绿盟科技、瑞星和赛门铁克的安全专家建议广大用户时刻保持警惕,并给出了防范类似病毒的基本策略:
◆ 如今,病毒的大规模爆发与系统漏洞发布的时间间隔越来越短,所以我们要关注漏洞信息,及时为服务器、客户端安装最新补丁,同时关闭或删除不需要的服务,不给攻击提供方便之门。
◆ 如果混合型威胁利用了一个或多个网络服务,在应用补丁程序之前禁用或禁止访问这些服务。
◆ 强制执行密码策略,使用复杂的密码有助于在计算机的安全受到威胁时,防止或限制更大的破坏。
◆ 将邮件服务器配置为禁止或删除包含常用于传播病毒附件(如.vbs、.bat、.exe、.pif 和.scr)的电子邮件。
◆ 迅速隔离受感染的计算机,以防止受到更多的威胁,执行攻击型分析并使用可靠的媒体恢复计算机。
◆ 培养安全意识,明确区别正常情况与异常情况,区分硬件异常与系统异常。这样,当系统发现新的异常时,用户就可以有所警觉,然后尽量到相关反病毒网站上,看看是否最近有新的病毒爆发。(n102)
