电脑中了震荡波病毒怎么办（震荡波电脑病毒）

35小吃技术网推荐阅读 2022年04月05日22时43分39秒 235 0

一、谶曰——此“震荡波”非彼“震荡波”

大东：小白，你看什么呢，这么起劲。

小白：变形金刚啊，里面的震荡波好厉害啊。

电脑中了震荡波病毒怎么办（震荡波电脑病毒）-第1张图片

震荡波（图片来源：百度图片）

大东：那你知不知道电脑病毒也有一个震荡波，也特别厉害。

小白：不知道啊，东哥，快给我讲讲呗。

二、话说事件——震荡波电脑病毒爆发

大东：震荡波电脑病毒于2004年4月30日爆发，短短的时间内就给全球造成了数千万美元的损失。

小白：那中了震荡波病毒电脑会有什么特征呢？

大东：电脑一旦中招就会莫名其妙地死机或重新启动计算机，而在纯 DOS 环境下执行病毒文件，则会显示出谴责美国大兵的英文语句。

电脑中了震荡波病毒怎么办（震荡波电脑病毒）-第2张图片

电脑受到震荡波病毒的感染（图片来源：逍遥科技说）

小白：真是令人难忘的4月啊。

大东： Sasser（震荡网波）LSASS 蠕虫病毒是一款使用 Visual C 语言编写的自身执行传播的病毒。

小白： C语言编写？

大东：是的，它主要针对 eEye 安全小组发现的 Microsoft LSA 缓冲区溢出漏洞进行攻击。

小白：这个病毒是有目的性的攻击？

大东：没错，Sasser 蠕虫所使用的攻击是溢出攻击代码，该攻击代码经测试是针对 Windows 2000 Professional，Windows 2000 Server 和 Windows XP Professional 等操作系统的英文和俄文版的操作系统。

小白：那也就意味着有些系统并不会感染震荡波病毒对吗？

大东：由于蠕虫使用的攻击代码本身的缺陷，它只能影响到 Windows XP 和一些特定版本的 Windows 2000 Professional。目前没有任何特征表明除了传播外该病毒还有什么其他破坏性（给受害系统带来副作用）。

小白：即使这样，这个病毒也带来了不少的损失啊。

大东：损失大概在上亿美元。由于环境不同，各种行业系统感染“震荡波”病毒以后表现也不同。在金融系统主要表现为服务器停止响应用户的账单申请。

小白：那就不能通过网络查询、办理业务了啊。

大东：电信和网络运营商可能因感染病毒使用户无法接入 Internet；个人用户会因电脑频繁启动、响应缓慢而无法正常工作。

小白：那对我们日常使用电脑和生活影响还是挺大的。

大东：不仅如此，该病毒会使 Windows 系统的“安全认证子系统”（LASS）崩溃，使与安全认证有关的程序出现严重运行错误；有些特殊行业用户还可能因系统意外停机而造成数据丢失或损毁，后果十分严重。

电脑中了震荡波病毒怎么办（震荡波电脑病毒）-第3张图片

电脑受到震荡波病毒的感染（图片来源：百度文库）

大东：由于该病毒导致电脑频繁重新启动，不明原因的用户往往会怀疑是主板等硬件故障。

小白：那病毒是如何通过计算机传播的呢？

大东：不要着急，这就慢慢讲给你听。

三、大话始末

大东：病毒运行时会不停地利用 IP 扫描技术寻找网络上系统为 Win2K 或 XP 的计算机，找到后就利用 DCOM RPC 缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启，甚至导致系统崩溃。

小白：那我换一个系统不行吗？

大东：另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

小白：好可怕。

大东：为了确保病毒体在系统重启能构再次被执行，一个新的病毒体 Sasser 会把他自己拷贝到当前操作系统的系统根目录（\WINDOWS或者\WINNT）并且在注册表中添加键值。

大东：在感染完成后如果该计算机已经被该病毒感染过，这个新感染的病毒体会通过一个名为 Jobaka3l 的互斥体检测到并立刻停止感染。

小白：如果是第一次受到感染呢？

大东：如果病毒实体是第一次感染该计算机，它将打开一个使用端口5554的 FTP 并且创建128个线程开始无限传播循环。

大东：传播过程中， Sasser 仅挑选随机的 IP 地址进行扫描和攻击。当感染了该网段的某台主机后，病毒会随机将尝试攻击的范围扩展到部分或者是整个网段。

小白：都是随机的？

大东：任何一次尝试中，大概有52%的机率IP地址是完全随机的，其中25%的机率IP地址的前16个字节将和本地IP相同。（最后8个字节随机），余下23%的机率是本地IP的前面8个字节将被使用（剩下的24个字节随机）。随机的8个字节将在0和254随机通过特殊的函数产生。

小白：如果成功连接到随机的 IP 地址那是不是就算感染成功了？

大东：蠕虫会尝试连接随机产生的IP地址的计算机系统 TCP 端口445，如果成功，病毒将发出一系列的数据包确认对方所运行的Windows系统版本。一旦操作系统的版本已经选定，Sasser 蠕虫将发送 LSA 攻击代码并且尝试连接 TCP 端口9996以获得命令行下的 shell。如果成功，病毒会在受害的计算机上执行如下命令去下载并且运行蠕虫的可执行文件。

小白：之前好像是有一个冲击波病毒，他们两个的名字好像啊，他们二者有什么关联呢？

大东：与 MSBlaster（冲击波）RPC DCOM 蠕虫相似，Sasser 使用了一个公开的 LSA 缓冲区溢出漏洞的攻击代码去攻击并试图获得受害主机的一个命令行下的 shell。

电脑中了震荡波病毒怎么办（震荡波电脑病毒）-第4张图片

震荡波与冲击波的不同（图片来源：百度文库）

小白：那不同点呢？

大东：第一点不同是利用的漏洞不同。

小白：震荡波病毒利用的是系统的 LSASS 服务。

大东：对的，该服务是操作系统的使用的本地安全认证子系统服务。

小白：那冲击波利用的是什么漏洞呢？

大东：冲击波病毒利用的是系统的 RPC 漏洞，病毒攻击系统时会使 RPC 服务崩溃，该服务是 Windows 操作系统使用的一种远程过程调用协议。

小白：哦哦哦，了解了，那还有别的不同吗？

大东：两种电脑病毒产生的文件不同。

小白：结尾都是.exe文件吧。

大东：是的，但是冲网击波病毒运行时会在内存中产生名为 msblast.exe 的进程，在系统目录中产生名为 msblast.exe 的病毒文件，震荡波病毒运行时会在内存中产生名为 avserve.exe 的进程，在系统目录中产生名为 avserve.exe 的病毒文件。

大东：而且他们两种病毒攻击的对象和入侵的端口也各不相同。

小白：区别不少啊。

大东：冲击波病毒攻击所有存在有 RPC 漏洞的电脑和微软升级网站，而震荡波病毒攻击的是所有存在有 LSASS 漏洞的电脑，但目前还未发现有攻击其它网站的现象。

小白：我听了刚才东哥的讲解，知道了震荡波病毒会本地开辟后门，听 TCP 的5554端口，然后做为 FTP 服务器等待远程控制命令，并疯狂地试探连接445端口。对吧？

大东：没错，而冲击波病毒会监听端口69，模拟出一个 TFTP 服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有 RPC 漏洞的135端口进行传播。

小白：那我们应该如何防范它呢？

四、小白内心说—— 对震荡波病毒的防范

小白：我们应该如何防范震荡波病毒的入侵呢？

大东：保护你的计算机。如果可能的话，为你的计算机安装一个防火墙，这样可以限制病毒的破坏程度，保证病毒被清除之后不再返回。Windows XP 就带有一个防火墙，可以通过微软网站进行安装（microsoft.com/security/protect ），网站上还告诉旧版 Windows 用户如何安装这一防火墙。此外，还可以从第三方公司获得防火墙，由于震荡波会对计算机的互联网接入产生影响，所以在安装防火墙之后你应该运行扫描程序，检查病毒是否已经回到了你的计算机中。

电脑中了震荡波病毒怎么办（震荡波电脑病毒）-第5张图片