您要打印的文件是:王江民细说如何防范“震荡波”病毒

王江民细说如何防范“震荡波”病毒



作者:佚名    转贴自:网络    点击数:2297


  时间过得真快,转眼七天的五一长假就将结束了。然而,五一期间,就在人们或走亲访友、或结伴旅游的同时,互联网上一场病毒与反病毒的斗争也在紧张地进行着。这是一场怎样的斗争?它和我们普通互联网用户有什么关系?5月7日,我国权威计算机反病毒专家王江民对该病毒进行了详尽的阐述。

  王江民说,4月13日到4月29日,江民反病毒专家们刚刚截获并消灭了专偷网上银行资金的病毒“网银大盗”病毒,5月1日,国家计算机病毒应急中心发现,一种利用微软操作系统漏洞的蠕虫病毒正在对互联网发起攻击,并陆续接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。凭着与计算机病毒多年的实战经验,专家们认为这个病毒潜在的危害巨大,病毒利用的是Windows LSASS的一个已知漏洞(MS04-011),被攻击的计算机会出现系统频繁重启的现象,与去年大面积爆发的冲击波病毒危害十分相似。反病毒专家们担心的是,虽然去年4月份微软就发布了这个漏洞补丁,但我国仍有相当部分用户没有打上这个漏洞补丁。

  当日,国家计算机病毒应急处理中心紧急与以江民为首的我国反病毒通道厂商联系,要求反病毒厂商紧急升级杀毒软件病毒库。江民国内率先响应了国家应急中心的指示,以最快速度升级了KV系列杀毒软件病毒库,并在江民反病毒资讯网发布了病毒技术分析报告以及相关解决方案。

  通过对病毒样本的分析,我们的反病毒专家得出几个病毒特性:
  
(1)该蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播。

  (2)该蠕虫用来传播的文件名称是:avserve.exe (大小是15872字节) 。

 (3)该蠕虫的传播不需要人为的干预,该蠕虫能自动在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行。

  (4)病毒从TCP的1068端口开始搜寻可能的IP地址并试图传播。

 (5)病毒在TCP端口5554,建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本。该脚本能自动引导被感染的计算机下载病毒文件并执行。

   抓住了病毒的以上特性,就等于打蛇打中了七寸,一套完整的解决方案很快就拿了出来。我们称为“震荡波”完全解决三部曲:

   第一步:针对病毒利用的是微软操作系统的已知漏洞MS04-011,解决的方法就是打上这个漏洞的补丁即可。但是现在到微软的网站下载补丁程序速度很慢,全球的用户都在下载。于是我们将微软关于该漏洞的补丁程序分门别类,按照版本和语言环境的不同进行了整理,并将其放在了江民反病毒资讯网的显要位置,供我国网民在本地下载。下载地址:http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/2004511533255.htm

   第二步:对于已感染该病毒的用户,我们提供了10天免费使用期限的完全功能KV2004杀毒软件供网民应急杀毒,用户无需输入任何序列号,直接安装使用。下载地址:http://update.jiangmin.com/download/kv2004.exe,同时,我们还提供了“震荡波”和“网银大盗”的双料专杀工具,供用户免费下载使用。

   第三步:由于病毒利用TCP455、9995、5554端口,利用自身的IP地址列表,对特定IP地址段可能存在的计算机进行漏洞扫描并试图传播病毒,所以只需使用江民黑客防火墙的规则设置功能将以上端口封住即可。对于没有防火墙软件的用户,如平时只上上网,没有其它特殊应用,则可以使用WIN2000以上操作系统自带的TCP/IP筛选功能,选择只使用TCP80端口即可。(相关文章:《使用江民黑客防火墙三步封杀震荡波病毒》《江民支招:用系统自带TCP/IP筛选功能防御“震荡波”病毒》)

  对于我国相当部分没有经过微软合法授权的电脑用户来说,由于微软不提供相应的技术支持,安装相应的漏洞补丁程序是很困难的。因此,解决病毒的办法只能有后两种,安装杀毒软件和封堵相应的端口。

   5月2日,就在我们的反病毒专家们认为终于可以喘一口气的时候,震荡波变种B出现,与原病毒不同的是变种病毒用来传播的文件名稍作改动,将原病毒文件avserve.exe改为avserve2.exe 。

   当日晚,江民又截获了震荡波变种C,两天之内发现三个变种,这是去年的冲击波病毒所没有的,看来病毒作者是在于反病毒专家们暗中较劲。震荡波变种C与其它原病毒的区别在于编译的时间不同,因此也很容易就被解决了。

   5月4日,变种D被截获,该变种将病毒文件名由原avserve.exe改为Skynetave.exe,以逃避反病毒软件的查杀,其它的传播机制则完全相同。也就是十几分钟,变种D就被解决了。

   从去年“冲击波”病毒爆发,到今年的“挪威客”、“网络天空”、“网银大盗”,直到现在的“振荡波”,反病毒与病毒的较量从来没有停止过,我们的反病毒专家们随时都处于备战状态。反病毒在明处,病毒在暗处,没有人可以预知下一个病毒会在什么时候出现。反病毒厂商能做的是,消灭每一个病毒在萌芽状态,防止其大面积传播和爆发。从近几天震荡波发作的情况看,在国家计算机病毒应急处理中心的指挥协调下,“震荡波”病毒疫情已经得到了很好的遏制,并没有象有些厂商喧染的那样可怕,只要按照上面所说的三个步骤去做,就可以彻底防范“震荡波”病毒了。