计算机用户要谨防震荡波变种和震荡波清除者病毒

2004-05-16 17:46:34 羊城晚报

　　南方网讯　计算机病毒“震荡波”出现后，windows7旗舰版，近期又出现了“震荡波”变种E和“震荡波清除者”病毒。国家计算机病毒应急处理中心１６日发布了这两个病毒的技术报告，提醒广大用户要及时采取相关措施。

    病毒名称：“震荡波清除者”（Worm_Cycle.A） 

    感染系统： Win2000/WinXP/Win2003/Win NT 4.0

    病毒特征：

１、生成病毒文件

病毒在%system%目录下生成自身的拷svchost.exe，还在%Windows%目录下生成文件cyclone.txt。

２、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建“Generic Host Service”=“%%system%\svchost.exe”HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建“Generic Host Service”=“%system%\svchost.exe”

３、通过系统漏洞主动进行传播

病毒在TCP/３３３２端口开启后门服务，接受连接，在UDP/６９端口上运行一个TFTP服务器下载蠕虫副本。病毒对外连接随机产生主机的TCP/４４５端口，去感染其他的主机。

４、 终止进程

病毒会终止以下进程，msblast.exe、avserve.exe、avserve2.exe和skynetave.exe，这些进程是"冲击波"、"震荡波"病毒及他们的变种创建的。

５、发动DoS攻击

当系统时间为５月１８日，病毒将对网站发动DoS攻击。

    病毒名称：“震荡波”变种E（Worm_Sasser.E）

    感染系统： Win2000/WinXP

病毒特征：

１、生成病毒文件

病毒运行后，在%System％目录下生成自身的拷贝，名称为LSASSS.EXE。

２、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，windows7旗舰版安装solarwins，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建“LSASSS.EXE”= %System%\LSASSS.EXE

３、通过系统漏洞主动进行传播

病毒通过在已被感染的机器上开启TCP端口１０２３建立一个FTP服务器（机器A），用来作为感染其它机器的服务器。并通过TCP４４５端口扫描随机的IP，当发现存在漏洞的系统连接成功时，被感染的计算机（机器A）向连接成功的机器（机器B）发动攻击，被攻击的计算机（机器B）将会自动连接已被感染计算机（机器A）的１０２３端口并通过FTP下载蠕虫的拷贝。数据包会运行一个可打开１０２２端口的远程壳。

４、危害性

受感染的系统可能会出现倒计时对话框，频繁重新启动，系统运行速度明显减慢或死机，上网只能

综上所述，这就是https://www.windows7zj.com的本文作者:小刘给你们提供的计算机用户要谨防震荡波变windows7文件自定义排序种和震荡波清除者病毒：南方新闻网中国了，所写的原创文章仅此参考，觉得这篇文章不错就可以分享给身边的朋友，欢迎点评，版权声明：如若转载，请注明：https://www.windows7zj.com，谢谢！