| |
| 在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。 |
|
|
|
 |
解析“震荡波”蠕虫病毒
“五一”黄金周第一日,一个新的病毒——“震荡波(Worm.Sasser)”开始在互联网肆虐。该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其破坏程度有可能超过“冲击波”…… | |
|
|
·莫名其妙地死机或重新启动计算机;
·任务管理器里有一个叫"avserve.exe"、"avserve2.exe"或者"skynetave.exe"的进程在运行;
·在系统目录下,产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件;
·最系统速度极慢,CPU占用100%。
|
|
|
|
共同点:
1、不断重新启动计算机或者莫名其妙的死机
2、大量消耗系统资源,招系统速度极慢
3、阻塞网络,造成网速变慢直至无法上网
不同点:
|
冲击波 |
震荡波 |
| 利用的系统漏洞 |
利用系统的RPC 接口中的缓冲区溢出漏洞,导致RPC服务崩溃。 |
利用系统的LSASS服务中的缓冲区溢出漏洞 |
| 病毒文件 |
msblast.exe |
avserve.exe,avserve2.exe |
| 利用端口 |
TCP 135端口,TCP 4444端口,UDP 69端口 |
TCP 5554端口,TCP 445端口,TCP 9996端口 |
| 攻击目标 |
有RPC漏洞的电脑和微软升级网站 |
有LSASS漏洞的电脑 |
|
|
|
|
|
