微软网站下载补丁

[U]http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx[/U]

　　5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹，该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的，危害性极大，目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。

　　如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒。

一、出现系统错误对话框
被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。

二、系统日志中出现相应记录
　　如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如下图所示的日志记录，则证明已经中毒。

三、系统资源被大量占用
　　病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。

四、内存中出现名为 avserve 的进程
　　病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。

五、系统目录中出现名为 avserve.exe 的病毒文件
　　病毒如果攻击成功，会在系统安装目录（默认为 C:\WINNT ）下产生一个名为avserve.exe 的病毒文件。

六、注册表中出现病毒键值
　　病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值： "avserve.exe "="%WINDOWS%\avserve.exe " 。
发现日期：5月1日　

此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞（ MS04-011 ）进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。 　

一、病毒评估　

1．病毒中文名：震荡波
2．病毒英文名：Worm.Sasser
3．病毒大小：15,872字节
4．病毒类型：蠕虫病毒
5．病毒危险等级：★★★★★
6．病毒传播途径：网络
7．病毒依赖系统：Windows NT/2000/XP　

二、病毒的破坏　

1. 中毒的系统运行缓慢，同时系统运行中极有可能出现如定时关机、非法操作等异常。 　
2. 网络带宽严重被占用，对网络的正常使用造成极大影响

三、病毒报告　

这是一个类似冲击波的病毒，利用微软操作系统的缓冲区溢出漏洞（MS04-011）远程执行代码。受感染的操作系统有： 　

Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition 　

请用户立即给爱机打最新的补丁

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

1 首先安装微软的相关补丁！下载您的系统对应的补丁，然后安装。还要注意语言版本。

2 终止avserve.exe进程，通常是C:\windows\avserve.exe或者C:\winnt\avserve.exe

（关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中avserve.exe这个进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。）

病毒的破坏行为：　

1.首先拷贝自身到windows目录，名为%WINDOWS%\avserve.exe(15,872字节)，然后登记到自启动项。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe = %WINDOWS%\avserve.exe　

2.开辟线程，在本地开辟后门。监听TCP 5554端口，做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。　

3. 病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。　

病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞，该病毒在网络上传播迅速，造成网络瘫痪。　

四、病毒解决方案：　

1.立即打系统补丁　

安装微软针对此漏洞的操作系统补丁程序:

[U]http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx[/U]

2.进行升级　

瑞星公司将于当天进行升级，升级后的软件版本号为16.24.42，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能。
3.使用专杀工具　

鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到：[U]http://it.rising.com.cn/service/technology/tool.htm [/U]网址进行免费下载，并进行该病毒的清除。
4.使用在线杀毒和下载版　

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：[U]http://online.rising.com.cn/ [/U] 来使用在线杀毒产品，或者登陆网址： [U]http://go.rising.com.cn/[/U] 来使用下载版产品。
5.打电话求救　

如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！
6.手动清除　

（1） 打开注册表编辑器,删除如下键值<如果存在的话>: HKLM\Software\Microsoft\Windows\CurrentVersion\Run " avserve.exe "="%WINDOWS%\avserve.exe "　

（2） 打开任务管理器查看是否存在进程名为: avserve.exe,终止它　

（3）删除%WINDOWS%\avserve.exe 注%WINDOWS% 是指系统的windows目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS, Win2K下默认为:C:\WINNT。


Worm.WelChia.b.12800（新）

没有专杀工具 病毒清除版本：瑞星16.13.20　

病毒特征：
一个利用多个漏洞进行传播的蠕虫病毒
病毒行为：
病毒将于2004年6月1日以后或病毒运行180天以后。自动删除自己的服务，并删除自己
的exe文件。
病毒运行后将自己复制到%System%\drivers\svchost.exe并在注册表中加入一个
服务名为：WksPatch，其文件路径指向%System%\drivers\svchost.exe。显示名为以下
3组字符串随机组合的服务。 　

字串组1：
Security
Remote
Routing
Performance
Network
License
Internet
字串组2：
Manager
Procedure
Accounts
Event
字串组3：
Sharing
Messaging
Client 　

修改主页：
病毒判断当前系统是否为日文系统，如果是病毒从注册表
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
及IIS Help folders中读取路径并尝试搜索用病毒体内带的一个html文件替换。 　

将被替换的文件扩展名为：
.asp,.htm,.html,.php,.cgi,.stm,.shtm,.shtml 　

病毒体内的文件内容： 　

LET HISTORY TELL FUTURE !　

1931.9.18　

1937.7.7　

1937.12.13 300,000 !　

1941.12.7　

1945.8.6 Little boy　

1945.8.9 Fatso　

1945.8.15　

Let history tell future !　

家计算机病毒应急处理中心:

清除Worm.MyDoom.a,Worm.MyDoom.b病毒：
当前系统不是日文系统的话，并统中了Worm.MyDoom的话,病毒将尝试清除掉。并清楚病毒
留下的后门。 　

补丁下载：
当前系统是英文，韩文或简繁中文的话，病毒将利用系统注册表尝试判断去microsoft的网
站下载相应的补丁包。并运行。 　

漏洞攻击：
病毒随机产成ip地址尝试利用以下四个漏洞进行攻击。（病毒的一个漏洞溢出点是从本地
系统的动态库中搜出：ws2_32.dll,rtutils.dll，mprapi.dll，这样对使用同样系统的局域网
攻击目标成功率将提高。）
1.DCOM RPC
2.WebDav vulnerability.
3.Workstation Service vulnerability
4.Locator service vulnerability. 　

病毒后门：
病毒监听一个随机的端口做为一个http服务器：当收到Get WksPatch.exe请求后， 向请求发
送WksPatch.exe文件。

国家计算机病毒应急处理中心通过对互联网的监测，于2004年5月1日发现一种利用微软近期公布漏洞的新蠕虫病毒，我们将其命名为“震荡波”蠕虫病毒，并已接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。

该病毒主要利用微软SSL安全漏洞进行攻击。微软证书服务中使用的PCT（Private Communication Technology）协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞，该协议是基于Microsoft IIS 5 WEB平台的Microsoft SSL（Secure Sockets Layer）库的实现。

病毒名称： "震荡波"病毒 Worm_Sasser
其它英文命名：暂无
感染系统：WinNT/Win2000/WinXP/Win2003
病毒长度：15872字节
　病毒特征：

　1、生成病毒文件
　　　　
病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件

例如:

c:\win.log : IP地址列表

c:\WINNT\avserve.exe : 蠕虫病毒文件本身

c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身

c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身

2、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run下创建
"avserve"=”c:\WINNT\avserve.exe”

3、通过系统漏洞主动进行传播

病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。

4、危害性

受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A 类或B类子网地址，目标端口是TCP 445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。


清除该病毒的相关建议：

1、安全模式启动
　　重新启动系统同时按下按F8键，进入系统安全模式

2、注册表的恢复

　　　　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双
　　　击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
　　　CurrentVersion>Run ，并删除面板右侧的"avserve"="c:\winnt\avserve.exe"

　3、删除病毒释放的文件

　　　　　点击"开始--〉查找--〉文件和文件夹"，查找文　　　
件"avserve.exe"和"*_up.exe"，并将找到的文件删除。

4、安装系统补丁程序

到以下微软网站下载安装补丁程序：

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

或者在ＩＥ浏览器的工具－>Windows Update升级系统。

5、重新配置防火墙

重新配置边界防火墙或个人防火墙关闭TCP端口5554;

目前国家计算机病毒应急处理中心已经将发现的病毒样本通知各防病毒厂家，目前各厂家正在进行产品升级。同时提醒广大计算机用户注意监测其变种出现，一旦发现请立即与国家计算机病毒应急处理中心取得联系。
“震荡波”让用户无法修补系统 瑞星全球独家发布内存补丁
　[快讯]针对微软MS04-011漏洞的“震荡波”病毒来势汹汹，目前已有大量被感染用户向瑞星技术服务部门求助。在4月29日瑞星发布的一级安全警报中表示，根据瑞星互联网攻防实验室的监测，有90％以上的用户没有下载微软的补丁程序。

　　根据瑞星技术服务部门的监测，目前“震荡波”病毒已经开始在全球泛滥，预计在未来数日内将会迅速蔓延。虽然瑞星已经升级了杀毒软件并且向非瑞星用户提供免费的专杀工具，但是一个非常重要的问题是，许多被感染的用户由于病毒的破坏，已经无法正常上网下载补丁程序和反病毒软件。

　　针对这一严峻形势，瑞星宣布于5月2日凌晨两点、用中英文两种版本全球发布其独家的内存补丁工具。该补丁程序数据量非常小(80K)、很容易下载，适用于所有被“震荡波”病毒威胁和已经被感染的用户。该补丁程序下载地址为：

http://download.rising.com.cn/zsgj/RavSasser.exe

　　如果用户来不及下载、或者由于版本问题无法下载微软的补丁程序，或下载的补丁无法正常安装，请立刻下载瑞星提供的、只有80K大小内存补丁工具。该程序拥有三个明显的优点：一是数据量非常小，可以在机器重启之前迅速下载；二是适用于所有无法正常下载微软补丁程序的用户；三是该补丁集成在瑞星“震荡波”专杀工具中，因此瑞星的“震荡波”专杀工具既能查杀“震荡波”病毒，又能有效防止利用MS04-011漏洞的后续版本的病毒。

　　瑞星研发部总经理王耀华表示,这是全球首次由反病毒厂商向用户提供内存补丁工具,解决了用户无法正常下载微软补丁程序、以及杀了毒再中毒的问题,是全球安全业界的一个创举,受益者不光包括国内用户,还有国外的用户。

用户无法正常下载微软补丁程序的原因如下：
1、 已经感染此病毒，系统无法正常运行。
2、 已经感染此病毒，造成电脑连续重启，而微软的补丁程序非常大，根本来不及下载。
3、 未感染病毒，但是系统版本太低，如是NT或者2000操作系统，但是从未打过Service Pack，也有可能无法打补丁。
4、由于版本等其它原因，无法正常下载和安装微软补丁程序。

该内存补丁工具适用于以下几种用户:
1、该补丁适合于所有未打过或者无法打上微软官方MS04-011漏洞补丁的电脑，也适合于由于业务需要能打补丁、但不能进行系统重启的核心业务电脑。
2、该补丁能自动检测操作系统类型，动态生成内存补丁，并立即生效，适合于Windows 2000系列操作系统，以及Windows XP系列操作系统。
3、由于版本等其它原因，无法正常下载和安装微软补丁程序。

微软承认SSL安全补丁瑕疵 可引起Win2000系统死机
4月29日消息，微软已经在一篇知识库的文章中证实，微软为修复一个严重的SSL安全漏洞所发布的补丁存在瑕疵，可引起某些Windows 2000系统锁死或者不能启动。

这个补丁是修复一个非常严重的安全漏洞的。安全专家称，最近几天已经发现有人在利用这个安全漏洞。

这篇知识库的文章的题目异乎寻常的长：“在你安装微软MS04-011号安全公告中说明的安全更新软件之后，你的计算机将停止响应，你不能登录Windows，或者你的计算机中的CPU的使用率将达到100%。”

据这篇文章介绍，由于Windows设法反复安装那些无法安装的驱动程序，于是就出现了这个问题。微软承认，这个问题是补丁中的一个瑕疵。微软正在研究解决方案。

这篇文章还提供了一些特别的例子，北电网络虚拟专用网的客户安装了这个补丁，并且把“IP安全策略代理”（IPSec Policy Agent）设置为手动或者自动启动方式。结果，却把这项功能关闭了。不过这些问题是很普通的。安全补丁没有必要包含这些专门的驱动程序。

如何完全清除震荡波(Worm.Sasser)病毒
5月1日，“震荡波(Worm.Sasser)”病毒在网络出现，由于该病毒是通过漏洞进行传播的，因此这几日用户如果上网极有可能会感染该病毒，然后出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象，如果用户出现了上述现象，则需要对该病毒进行清除。

一、手工清除四部曲。

1、断网打补丁。

如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。

2、清除内存中的病毒进程

要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内存中查找名为“avserve.exe”的进程，找到后直接将它结束。

3、删除病毒文件

病毒感染系统时会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户需要到安全模式下或DOS系统下删除这些文件。

4、删除注册表键值

该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器，找到该病毒键值，然后直接删除。

二、自动清除三部曲

1、使用瑞星杀毒软件进行清除

用户可以将瑞星杀毒软件标准版或下载版产品升级到16.24.42版本，并进行系统盘和内存的杀毒。

2、使用瑞星在线杀毒进行清除

用户还可以使用瑞星免费的在线杀毒产品（http://online.rising.com.cn/）查找系统中是否存在病毒，然后用在线杀毒进行清除。

3、使用瑞星免费专杀工具进行清除

用户还可以到http://it.rising.com.cn/service/technology/RS_sasser.htm 网址下载免费的“震荡波病毒专杀工具”然后对电脑进行病毒扫描。

"震荡波"与"冲击波"病毒横向对比与分析
背景介绍：

　　冲击波（Worm.Blaster）病毒2003年8月12日全球爆发，该病毒由于是利用系统漏洞进行传播，因此，没有打补丁的电脑用户都会感染该病毒，从而使电脑出现系统重启、无法正常上网等现象。

　　2004年5月1日，"震荡波(Worm.Sasser)"病毒在网络出现，该病毒也是通过系统漏洞进行传播的，感染了病毒的电脑会出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象。
　　两大恶性病毒的四大区别：

　　一、 利用的漏洞不同冲击波（Worm.Blaster）病毒利用的是系统的RPC漏洞，病毒攻击系统时会使RPC服务崩溃，该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务，该服务是操作系统的使用的本地安全认证子系统服务。

　　二、 产生的文件不同冲击波（Worm.Blaster）病毒运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的病毒文件，震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe的病毒文件。

　　三、 利用的端口不同冲击波（Worm.Blaster）病毒会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门，听TCP的5554端口，然后做为FTP服务器等待远程控制命令，并疯狂地试探连接445端口。

　　四、 攻击目标不同冲击波（Worm.Blaster）病毒攻击所有存在有RPC漏洞的电脑和微软升级网站，而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑，但目前还未发现有攻击其它网站的现象。