“震荡波”病毒惊现网络 互联网再次面临重大威胁 （请大家注意！）

鬼塚英吉

“震荡波”病毒惊现网络 互联网再次面临重大威胁 （请大家注意！）

发现日期：5月1日

　　5月1日早晨6点，由金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。从win98到Windows 2003，所有的Windowsx作系统无一幸免。中招后的系统将开启上百个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。



　　病毒评估

1．病毒中文名：震荡波
2．病毒英文名：Worm.Sasser
3．病毒大小：15,872字节
4．病毒类型：蠕虫病毒
5．病毒危险等级：★★★★★
6．病毒传播途径：网络
7．病毒依赖系统：Windows NT/2000/XP
　
　　病毒的破坏　

　　同最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的，中招用户以ADSL上网用户居多。原因是病毒会扫描随机IP，并向该IP攻击。而ADSL大多是公网IP，所以更容易受到攻击。

Lsass漏洞存在于Windows的所有x作平台，凡是没有打补丁的用户都有可能中招。另一方面，现在是五一长假，很多人都远离电脑出外度假。所以五一过后该病毒很可能会大面积再次爆发。


　　该漏洞影响系统443和636端口：

　　关于443：这是微软的https协议使用的端口，这个端口提供了证书级别的加密http传输服务，可以保证传输过程中的数据安全，在验证方式调用中使用Microsoft SSL库。

　　关于636：636端口是LDAP所使用的端口。微软在Win2000系统中提供了LDAP（轻量级目录访问协议）支持，LDAP中提供三种认证机制，即匿名、基本认证和SASL（Simple Authentication and Secure Layer）认证。其中SASL认证即LDAP提供的在SSL和TLS安全通道基础上进行的身份认证，包括数字证书的认证。这是目前Internet上广泛采用的安全服务。LDAP通过StartTLS方式启动TLS服务，可以提供通讯中的数据保密性、完整性保护；通过强制客户端证书认证的TLS服务，同时可以实现对客户端身份和服务器端身份的双向验证。

　　由于漏洞是在Microsoft SSL库产生，所以所有使用SSL库的微软组件均受此漏洞影响。



　　解决/预防 方法：　
　　升级已有防火墙的病毒库
　　
　　采用Microsoft Windows NT架构系统的服务器，如无需开放SSL服务的建议关闭。如果SSL系统为内部网络使用，建议从防火墙block目标端口为443、636的数据包。所有Microsoft Windows NT架构Server用户，必须安装以下补丁。
　　
　　　下载专杀工具：
　　“震荡波”专杀工具：http://www.duba.net/download/3/113.shtml
　　
　　立即到微软的站点去下载并安装该漏洞的补丁　http://www.microsoft.com/technet/　security/bulletin/MS04-011.mspx（security 前面的空格自己去一下，要不那里会是个），打开个人防火墙屏蔽端口：445、5554和1068，防止名为avserve.exe的程序访问网络。
　　
　　

　　采用Microsoft Windows NT架构系统的服务器，如无需开放SSL服务的建议关闭。如果SSL系统为内部网络使用，建议从防火墙block目标端口为443、636的数据包。所有Microsoft Windows NT架构Server用户，必须安装以下补丁。
－－“金山毒霸强烈建议所有MS用户立即将系统补丁升级到最新版本，（目前有大量用户只安装了SP4和微软的冲击波补丁，这是很危险的）”

下面是简体中文OS补丁下载地址：

Winnt Workstation:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Winnt Server:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows 2000:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows XP:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
Windows 2003:
http://download.microsoft.com/do ... B835732-x86-CHS.EXE　

“震荡波”专用防火墙  
                           【winrar3.0格式下载】
http://www.duba.net/download/othertools/DB_AntiSasser.rar
                          【winzip自解压格式下载】
http://www.duba.net/download/othertools/DB_AntiSasser.exe
　 使用说明： 1、下载后解压缩； 2、直接运行AntiSasser.exe，即可启动防火墙。

MarineStudio

楼上的说得太轻松了吧，去年我中了冲击波，后来格盘重装了；前几天，好像早于5.1 Lsass漏洞就被攻击，那是还没有见到这个中文名，重启时记住了那个Lsass的名字，下了个补丁才没有老重启的。建议大家赶快打补丁吧！我到现在拨号的那个框还是不出来，和冲击波的时候一样呢！

MarineStudio

冲击波的时候，只看到电脑不停的重启，大概都不到1分钟吧！

MiaoMiao

我這幾天就中這個了~~之前只能開着天網~~~~~~~

感謝樓主~~偶去查查

ophelia

冲击波和震荡波我都中了。

ophelia

呵呵，昨天中震荡波的时候还以为是因为我几天没关电脑把它累病了呢。

wildthing

感谢楼主！昨天还有一个朋友中了震荡波来求助呢。。。

cat

收到~

谢了！

mac

有人中毒，偶太开心了！！！

哈哈 哈哈 哈哈！！！



2004年4月15日 Windows XP 用セキュリティ問題の修正プログラム (KB835732)



微软4月份就发布了这个补丁，中毒不可怜！！！有补丁不打！！！晕

bianfangqiu

多谢了

yxzjf

搂主，辛苦拉！

jinhyy

病毒没什么可怕的啊,注意多升级杀毒软件就可以了

ytzhangjiandon

我们局域网全部中招了！！！！！