现在已经证实,对于许多用户来说震荡波(Sasser)确实是一个问题,并且现在它已经是第六代或者第七代变异了。很幸运的是,他们都可以使用相同的方法来删除。本文将教你如何通过手工删除、如何通过工具删除并且如何防止它重新感染。
Sasser是一种拒绝服务攻击,除了XP的64位版本外,它威胁到Windows 2000以及Windows XP的所有版本。这些Windows系统都有一个众所周知的漏洞LSASS,一个在本地安全授权系统服务中的缓冲区溢出。然而只有Windows 2000和XP操作系统容易受到震荡波的攻击,老版本的Windows系统可以运行震荡波,但是系统不会感染,除非你专门将蠕虫代码加载到PC上。
目前的形势
虽然德国警方很抓住了制造和传播震荡波蠕虫的人,但是这种传染本身仍然继续在造成巨大的破坏,因为它甚至感染无人注意的系统,而且它将继续反复感染系统,直到系统将潜在的漏洞打上补丁。然而,这是一种很大的挑战,因为被感染的系统将不停地重新启动,使得被感染的机器不可能下载补丁或浏览网页来寻找相应的解决方案。
除了在适当的位置有一个正确配置的防火墙(阻塞TCP端口445,5554,以及9996)外,使用在微软安全公告MS04-011中提供的补丁是保护系统免于再次感染的唯一方法。
有这么多的系统仍然存在漏洞的原因在于:许多用户在安装补丁时没有好的经验。微软的知识库文章835732包含了关于这个补丁的已知问题,包括由于系统处理行为而造成的一些Windows 2000系统的完全关闭,以及在系统打补丁之后使得一些用户无法登录到Windows系统。在已经打补丁的W2K系统上的Oracle也有问题。对于已经打补丁的XP系统来说,唯一重大的问题是无法查看那些使用Adobe Illustrator创建的一些图形文件。
准备工作
删除震荡波的工作是一个需要多步操作才能实现的过程,第一个问题是如何停止不断自动重新启动的计算机,使其能够有足够长的时间来下载补丁和/或者下载删除工具。
以下是赛门铁克公司列出的如何删除震荡波从A到F的所有版本的过程。记住,完成下面的步骤只需要大约20秒左右的时间。
1、与因特网断开。
2、重新启动。
3、在启动,尽可能快的点击“开始”上的“运行”,输入“CMD”打开命令行界面。
4、在DOS提示符后输入shutdown ? i后回车。
这样为网络上其他系统的远程管理打开了控制面板,但是现在需要输入你的计算机的名字。
5、单击“添加”,输入名字,然后点击“确定”。
6、现在把警告信息的延迟设置从标准的20(秒)改为一个很大的数如9999。在打补丁后如果你愿意可以重新设置警告信息的延迟时间。
这将临时使关机序列失效,从而让你有足够的时间登录因特网并下载补丁。
对于许多用户来说,让他们感到奇怪的是他们的机器并没有连接到网络上为什么他们的系统还有名字,系统的名字要么是由拥有管理员权限的用户分配的,要么是自动产生的。要找到你的计算机的名字,打开“控制面板”并点击“系统”图标。由于你必须在20秒或者更少的时间内完成上面公告牌上的步骤,所以你必须在开始这些过程之前确定你的系统的名字。
对于在XP系统上停止周期性重新启动的方法,微软的使用说明告诉你只需在命令提示符处输入shutdown.exe ?a即可。如果这条指令生效的话,系统将更加快速第终止关机过程。
如果你能够下载并安装补丁的话,上述步骤不是必要的。他们不是下面描述的删除震荡波过程的技术的一部分。
删除
你可以从赛门铁克、F-Secure以及其他的防病毒提供商的网站上下载一个删除工具。微软也有详细的操作指南并且在该网页上还有一个自动测试工具,这个工具可以证明你是否感染了震荡波病毒并且可以删除这个病毒。如果你得到了这些自动删除工具中的一个的话,它将停止重新引导过程,删除蠕虫文件,清除注册表并且将利用这个工具删除震荡波病毒。退一步说,如果使用手动过程那将是相当麻烦的。
因为有些系统与震荡波进程联系的是如此的紧密,以至于你的计算机已经无法使用,所以即使你使用的是一个删除工具,以下一些手动删除步骤(终结恶意的进程)也许仍然是必要的。
你可以通过打开任务管理器并且查找avserve2.exe,avserve.exe,skynetave 以及任何使用短字符数字串开头后跟_up.exe (例如,XXXXX_up.exe)的进程,然后选中这些进程的名字并点击“结束进程”来终止他们,以改善系统的性能。
由于XP具有自动系统存储特征,所以在删除任何蠕虫或者病毒之前也应该关闭这种特征,因为这是一个备份工具,如果让其继续运行的话,它将保留一个感染的备份。赛门铁克对这些要求的步骤有一个完整的描述,但是基本的步骤是到“控制面板”中的“系统”对话框中检查是否关闭了“关闭系统存储”功能。
手动删除要求你删除所有被防病毒程序认为与震荡波有关的文件。
注册表已经被震荡波改变,这意味着你将需要从HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun上删除
avserve2.exe"="%Windir%avserve2.exe
变种在继续
Newsfactor.com公司已经报告了一种新的感染,Dabber(package.exe)通过震荡波来攻击计算机,删除震荡波蠕虫并且将计算机变成一个服务器并在计算机上设置了秘密的后门。在赛门铁克、趋势科技、熊猫卫士以及其他的反病毒提供商网站上已经发现了删除Dabber的操作指南。
变种E
赛门铁克报告震荡波的变种E在以下方面表现与W32.Sasser不同:
进程的名字是SkynetNotice,文件的名字是lsasss.exe,而这个名字在注册表行中又用avserve来代替。你还需要阻塞防火墙的1022和1023端口。而且不是查找XXXXX_up.exe文件,而是查找XXXXX_update.exe文件。
变种F
震荡波的变种F与以前的版本也有微小的不同。进程的名字是billgate,而震荡波文件的名字是napatch.exe,在注册表中也是使用这个名字。