震蕩波病毒是比較有名的一種計(jì)算機(jī)病毒，中毒后會(huì)給用戶數(shù)據(jù)、操作系統(tǒng)造成很大的損壞，甚至電腦不能啟動(dòng)！當(dāng)然隨著殺毒軟件免費(fèi)流行，病毒越來越少，不過呢還是不能不防，下面小編要介紹震蕩波病毒的中毒表現(xiàn)和震蕩波病毒特點(diǎn)及防范方法。

 

沖擊波（Worm.Blaster）病毒是利用微軟公司在2003年7月21日公布的RPC漏洞進(jìn)行傳播的，只要是計(jì)算機(jī)上有RPC服務(wù)并且沒有打安全補(bǔ)丁的計(jì)算機(jī)都存在有RPC漏洞，具體涉及的操作系統(tǒng)是：Windows2000、XP、Server 2003。
該病毒感染系統(tǒng)后，會(huì)使計(jì)算機(jī)產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時(shí)會(huì)彈出RPC服務(wù)終止的對(duì)話框，并且系統(tǒng)反復(fù)重啟, 不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等

震蕩波（Shockwave）是一種電腦病毒，為I-Worm/Sasser.a 的第三方改造版本，與該病毒以前的版本相同，通過微軟的最新LSASS漏洞進(jìn)行傳播，我們及時(shí)提醒廣大用戶及時(shí)下載微軟的補(bǔ)丁程序來預(yù)防該病毒的侵害。如果在純DOS環(huán)境下執(zhí)行病毒文件，會(huì)顯示出譴責(zé)美國(guó)大兵的英文語句。

具體技術(shù)特征如下：

　　1、感染系統(tǒng)為：Windows 2000、Windows Server 2003、Windows XP、Windows 7 ；

　　2、利用微軟的漏洞：MS04-011

　　3、病毒運(yùn)行后，將自身復(fù)制為%WinDir%\napatch.exe ；

　　4、在注冊(cè)表啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創(chuàng)建：“napatch.exe” = %WinDir%\napatch.exe;這樣，病毒在Windows啟動(dòng)時(shí)就得以運(yùn)行；

　　5、在TCP端口5554建立FTP服務(wù)，用以將自身傳播給其他計(jì)算機(jī)；

　　6、隨機(jī)在網(wǎng)絡(luò)上搜索機(jī)器，向遠(yuǎn)程計(jì)算機(jī)的445端口發(fā)送包含后門程序的非法數(shù)據(jù)，遠(yuǎn)程計(jì)算機(jī)如果存在MS04-011漏洞，將會(huì)自動(dòng)運(yùn)行后門程序，打開后門端口9996。病毒利用后門端口9996，使得遠(yuǎn)程計(jì)算機(jī)連接病毒打開的FTP端口5554，下載病毒體并運(yùn)行，從而遭到感染；

　　7、病毒還會(huì)利用漏洞攻擊LSASS.EXE進(jìn)程，被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會(huì)癱瘓，Windows系統(tǒng)將會(huì)有1分鐘倒計(jì)時(shí)關(guān)閉的提示；

　　8、病毒在C:\win32.log中記錄其感染的計(jì)算機(jī)數(shù)目和IP地址.


　　該病毒主要利用微軟SSL安全漏洞進(jìn)行攻擊。微軟證書服務(wù)中使用的PCT（Private Communication Technology）協(xié)議在處理客戶端請(qǐng)求的時(shí)候存在一個(gè)遠(yuǎn)程緩沖區(qū)溢出漏洞，該協(xié)議是基于Microsoft IIS 5 WEB平臺(tái)的Microsoft SSL（Secure Sockets Layer）庫的實(shí)現(xiàn)。
生成病毒文件
　　病毒運(yùn)行后，在%Windows％目錄下生成自身的拷貝，名稱為avserve.exe,avserve2.exe等，文件長(zhǎng)度為15872字節(jié)，和在%System%目錄下生成其它病毒文件
例如:
c:\win.log : IP地址列表
c:\WINNT\avserve.exe : 蠕蟲病毒文件本身
c:\WINNT\system32\11113_up.exe : 可能生成的蠕蟲文件本身
c:\WINNT\system32\16843_up.exe : 可能生成的蠕蟲文件本身
修改注冊(cè)表項(xiàng)
　　病毒創(chuàng)建注冊(cè)表項(xiàng)，使得自身能夠在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下創(chuàng)建
“avserve”=”c:\WINNT\avserve.exe”
通過系統(tǒng)漏洞主動(dòng)進(jìn)行傳播
　　病毒主動(dòng)進(jìn)行掃描，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在微軟SSL安全漏洞時(shí)，進(jìn)行攻擊，然后在受攻擊的系統(tǒng)中生成名為cmd.ftp的ftp腳本程序，通過TCP端口5554下載蠕蟲病毒。
 

　　如何防范“震蕩波”

　　首先，用戶必須迅速下載微軟補(bǔ)丁程序，作為對(duì)于該病毒的防范。

　　如何處理“震蕩波”

　　第三方工具

　　金山或者瑞星用戶迅速升級(jí)殺毒軟件到最新版本，然后打開個(gè)人防火墻，將安全等級(jí)設(shè)置為中、高級(jí)，封堵病毒對(duì)該端口的攻擊。非金山或者瑞星和360用戶迅速下載專殺工具。

　　如果用戶已經(jīng)被該病毒感染，首先應(yīng)該立刻斷網(wǎng)，手工刪除該病毒文件，然后上網(wǎng)下載補(bǔ)丁程序，并升級(jí)殺毒軟件或者下載專殺工具。手工刪除方法：查找C:\WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將其刪除。

　　手工清理

　　1、斷網(wǎng)打補(bǔ)丁

　　如果不給系統(tǒng)打上相應(yīng)的漏洞補(bǔ)丁，則連網(wǎng)后依然會(huì)遭受到該病毒的攻擊，用戶應(yīng)該先到微軟網(wǎng)站下載相應(yīng)的漏洞補(bǔ)丁程序 ，然后斷開網(wǎng)絡(luò)，運(yùn)行補(bǔ)丁程序，當(dāng)補(bǔ)丁安裝完成后再上網(wǎng)。

　　2、清除內(nèi)存中的病毒進(jìn)程

　　要想徹底清除該病毒，應(yīng)該先清除內(nèi)存中的病毒進(jìn)程，用戶可以按CTRL+SHIFT+ESC三鍵或者右鍵單擊任務(wù)欄，在彈出菜單中選擇“任務(wù)管理器”打開任務(wù)管理器界面，然后在內(nèi)存中查找名為“avserve.exe”的進(jìn)程，找到后直接將它結(jié)束。

　　3、刪除病毒文件

　　病毒感染系統(tǒng)時(shí)會(huì)在系統(tǒng)安裝目錄（默認(rèn)為C：\WINNT）下產(chǎn)生一個(gè)名為avserve.exe的病毒文件，并在系統(tǒng)目錄下（默認(rèn)為C：\WINNT\System32）生成一些名為《隨機(jī)字符串》_UP.exe的病毒文件，用戶可以查找這些文件，找到后刪除，如果系統(tǒng)提示刪除文件失敗，則用戶需要到安全模式下或DOS系統(tǒng)下刪除這些文件。

　　4、刪除注冊(cè)表鍵值

　　該病毒會(huì)在電腦注冊(cè)表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項(xiàng)中建立名為“avserve.exe”，內(nèi)容為：“%WINDOWS%\avserve.exe”的病毒鍵值，為了防止病毒下次系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，用戶應(yīng)該將該鍵值刪除，方法是在“運(yùn)行”菜單中鍵入“REGEDIT” 然后調(diào)出注冊(cè)表編輯器，找到該病毒鍵值，然后直接刪除。

以上就是關(guān)于震蕩波病毒的一些相關(guān)信息了，雖然很多用戶已經(jīng)在使用更高級(jí)版本的windows操作系統(tǒng)，不過對(duì)于WinXP使用大國(guó)中國(guó)來說，該病毒還是需要防范的。