简单说:振荡波!
呵呵,复杂说,慢慢看!
lsass - lsass.exe - 进程信息
进程文件: lsass 或者 lsass.exe
进程名称: Local Security Authority Service
进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
Virus: 否
木马: 否
这个蠕虫病毒利用的是一个微软操作系统的漏洞,此漏洞为Windows LSASS的一个缓冲溢出漏洞,针对此漏洞进行攻击可以使LSASS.EXE缓冲区溢出,并使得攻击者取得对目标系统的完全控制权限,详细请见MS04-011安全公告。
被攻击的系统会出现一些症状,如LSASS.EXE出乎意料地终止提示一分钟倒计时窗口;LSASS.EXE出错需要关机窗口等现象,
病毒运行后将自身复制到系统目录%Windows%下,文件名为:avserve.exe
并在系统注册表启动项中加入自启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
avserve.exe = "%Windows%\avserve.exe"
使用互斥体“Jobaka3l”来判断自身是否已经存在与系统中。
病毒开启128个线程随机IP地址寻找有漏洞的目标计算机,当发现目标计算机有此漏洞后会发送一个经过设计的数据包到目标计算机的TCP445端口,使得目标计算机中的LSASS.EXE缓冲区溢出。
缓冲溢出后,病毒监听TCP9996端口,打开一个命令行,建立一个FTP脚本CMD.FTP,目标计算机执行这个脚本文件以XXXXX_up.exe文件名的方式通过FTP方式从被感染计算机系统上的TCP5554端口下载病毒文件到本地运行。
病毒被下载后,CMD.FTP文件将被删除,一个记录了被感染计算机台数和上一个被感染计算机的IP地址的文件WIN.LOG保存在系统根目录下。
清除病毒
请用户及时更新反病毒软件病毒库,目前各大反病毒厂商都已经将其加入到自己的病毒库文件中,及时地升级病毒库文件可以有效地防止这个病毒的入侵。
结束病毒进程
同时按下Ctrl+Alt+Del,打开“任务管理器”
选择病毒进程,比如AVSERVE.EXE,然后按下“结束任务”按钮将其进程结束,接下来再将这些病毒文件删除。
删除注册表中病毒键值
打开“注册表编辑器”,“开始”>>“运行”,输入REGEDIT,“确定”。
删除以下项目:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
avserve.exe = "%Windows%\avserve.exe"
安装补丁程序
请Windows NT / 2000 / XP / 2003用户安装MS04-011安全公告中所提到的安全补丁,并建议使用Windows Update安装系统所需要安装的所有关键更新和Service Pack。
