五一期间,就在人们或走亲访友、或结伴旅游的同时,互联网上一场病毒与反病毒的斗争也在紧张地进行着。这是一场怎样的斗争?它和我们普通互联网用户有什么关系?5月7日,我国权威计算机反病毒专家王江民对该病毒进行了详尽的阐述。
五一期间,就在人们或走亲访友、或结伴旅游的同时,互联网上一场病毒与反病毒的斗争也在紧张地进行着。这是一场怎样的斗争?它和我们普通互联网用户有什么关系?5月7日,我国权威计算机反病毒专家王江民对该病毒进行了详尽的阐述。
王江民说,4月13日到4月29日,江民反病毒专家们刚刚截获并消灭了专偷网上银行资金的病毒“网银大盗”病毒,5月1日,国家计算机病毒应急中心发现,一种利用微软操作 系统漏洞的蠕虫病毒正在对互联网发起攻击,并陆续接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。凭着与计算机病毒多年的实战经验,专家们认为这个病毒潜在的危害巨大,病毒利用的是Windows LSASS的一个已知漏洞(MS04-011),被攻击的计算机会出现系统频繁重启的现象,与去年大面积爆发的冲击波病毒危害十分相似。反病毒专家们担心的是,虽然去年4月份微软就发布了这个漏洞补丁,但我国仍有相当部分用户没有打上这个漏洞补丁。
当日,国家计算机病毒应急处理中心紧急与以江民为首的我国反病毒通道厂商联系,要求反病毒厂商紧急升级杀毒软件病毒库。江民国内率先响应了国家应急中心的指示,以最快速度升级了KV系列杀毒软件病毒库,并在江民反病毒资讯网发布了病毒技术分析报告以及相关解决方案。
通过对病毒样本的分析,我们的反病毒专家得出几个病毒特性:
(1)该蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播。
(2)该蠕虫用来传播的文件名称是:avserve.exe (大小是15872字节)。
(3)该蠕虫的传播不需要人为的干预,该蠕虫能自动在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行。
(4)病毒从TCP的1068端口开始搜寻可能的IP地址并试图传播。
(5)病毒在TCP端口5554,建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本。该脚本能自动引导被感染的计算机下载病毒文件并执行。
抓住了病毒的以上特性,就等于打蛇打中了七寸,一套完整的解决方案很快就拿了出来。我们称为“震荡波”完全解决三部曲:
第一步:病毒利用的是微软操作系统的已知漏洞MS04-011,解决的方法就是打上这个漏洞的补丁即可。但是现在到微软的网站下载补丁程序速度很慢,全球的用户都在下载。于是我们将微软关于该漏洞的补丁程序分门别类,按照版本和语言环境的不同进行了整理,并将其放在了江民反病毒资讯网的显要位置,供我国网民在本地下载。下载地址:www.jiangmin.com/exec/news_sys/news/jiangmin/
x/important/2004511533255.htm
第二步:针对不能正常升级WINDOWS补丁程序的电脑用户,江民提供了自主研发的震荡波漏洞补丁及专杀工具,通过江民反病毒资讯网及各大网站供下载。(www.jiangmin.com/download/kvrt.exe)
第三步:由于病毒利用TCP1068、455、9995、5554端口,利用自身的IP地址列表,对特定IP地址段可能存在的计算机进行漏洞扫描并试图传播病毒,所以只需使用江民黑客防火墙的规则设置功能将以上端口封住即可防御震荡波的攻击。(相关文章:《使用江民黑客防火墙三步封杀震荡波病毒》)
5月2日,就在我们的反病毒专家们认为终于可以喘一口气的时候,震荡波变种B出现,与原病毒不同的是变种病毒用来传播的文件名稍作改动,将原病毒文件avserve.exe改为avserve2.exe。
当日晚,江民又截获了震荡波变种C,两天之内发现三个变种,这是去年的冲击波病毒所没有的,看来病毒作者是在和反病毒专家们暗中较劲。震荡波变种C与其它原病毒的区别在于编译的时间不同,因此也很容易就被解决了。
5月3日,江民率先截获网络天空变种I-Worm/Netsky.ac,该病毒冒充最新的震荡波变种b的专杀工具,想利用人们病急乱投医的心理趁机作乱。
5月4日,变种D被截获,该变种将病毒文件名由原avserve.exe改为Skynetave.exe,以逃避反病毒软件的查杀,其它的传播机制则完全相同。也就是十几分钟,变种D就被解决了。
从去年“冲击波”病毒爆发,到今年的“挪威客”、“网络天空”、“网银大盗”,直到现在的“震荡波”,反病毒与病毒的较量从来没有停止过,我们的反病毒专家们随时都处于战斗状态。反病毒在明处,病毒在暗处,没有人可以预知下一个病毒会在什么时候出现。反病毒厂商能做的是,消灭每一个病毒在萌芽状态,防止其大面积传播和爆发。从近几天震荡波发作的情况看,在国家计算机病毒应急处理中心的指挥协调下,“震荡波”病毒疫情已经得到了很好的遏制,并没有象有些厂商喧染的那样可怕,只要按照上面所说的三个步骤去做,就可以彻底防范“震荡波”病毒了。
来源:新浪科技
网友评论