网络中心５月第一次计算机病毒预报

长春工业大学网络中心发布2004年5月计算机病毒应急工具包：

下载地址：http://cats.ccut.edu.cn:8080/20040510.exe

全部内容：

1.WINDOWS2000/XP/2003标准补丁包（含WINDOWS2000SP4\XPSP1\冲击波补丁）

2.WINDOWSXP\2003专用系统激活补丁（打完sp包后重启按F8进入安全模式运行）

3.震荡波专用专杀工具及微软公司WINDOWS系列产品震荡波专用补丁包

长春工业大学网络中心发布2004年4月计算机病毒应急工具包：

下载地址：http://cats.ccut.edu.cn:8080/20040410.exe

全部内容：

1.联想LENOVO启天2710、方正文祥E620（021114）SiS650_651_M650_M652_740显卡补丁

2.恶鹰专杀工具 RAVBBEAGLE.EXE

3.SCO 炸弹专杀工具 RAVNOVARG.EXE

4.网络天空专杀工具 RAVNETSKY.EXE

5.QQ尾巴专杀工具 SPANT.EXE

6.高波及变种专杀工具 ravblaster.exe

发布５月１７日至２３日一周内将要发作的计算机病毒预报如下：

一、病毒名称：“生日快乐”（Troj_YerHS）

病毒类型：特洛伊木马病毒

发作日期：５月２２日

危害程度：２２日，病毒会弹出一个对话框，对话框的标题为 “You are my Best Friend”（你是我最好的朋友），内容为“Happy Birthday Dear”（生日快乐，亲爱的）。

二、病毒名称：“里拉”（Worm_Livra.A）

病毒类型：蠕虫病毒

发作日期：５月２４日

危害程度：２４日，病毒会打开网页 http://www.avril-lavigne.com ，在屏幕中央显示椭圆图案，并在屏幕的左上角显示以下信息“AVRIL_LAVIGNE_LET_GO - MY_MUSE:) ２００２(c) Otto von Gutenberg”。

三、病毒名称： "震荡波"病毒 （Worm_Sasser）

其它英文命名：暂无

感染系统：WinNT/Win2000/WinXP/Win2003

病毒长度：15872字节

病毒特征：

1、生成病毒文件

病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件

例如:

c:\win.log : IP地址列表

c:\WINNT\avserve.exe : 蠕虫病毒文件本身

c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身

c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身

2、修改注册表项

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双

击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>

CurrentVersion>Run ，并删除面板右侧的"avserve"="c:\winnt\avserve.exe"

3、通过系统漏洞主动进行传播

病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。

4、危害性

受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A 类或B类子网地址，目标端口是TCP 445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。

清除该病毒的相关建议：

1、安全模式启动

重新启动系统同时按下按F8键，进入系统安全模式

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双

击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>

rrentVersion>Run ，并删除面板右侧的"avserve"="c:\winnt\avserve.exe"

3、删除病毒释放的文件

点击"开始--〉查找--〉文件和文件夹"，查找文件"avserve.exe"和"*_up.exe"，并将找到的文件删除。

4、安装系统补丁程序

到以下微软网站下载安装补丁程序：

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

或者在ＩＥ浏览器的工具－>Windows Update升级系统。

5、重新配置防火墙

重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996;

目前国家计算机病毒应急处理中心已经将发现的病毒样本通知各防病毒厂家，目前各厂家正在进行产品升级。同时提醒广大计算机用户注意监测其变种出现，一旦发现请立即与国家计算机病毒应急处理中心取得联系。

发布５月１７日至２３日一周内可能并行发作的计算机病毒预报如下：

一、病毒名称：“假警察”（Worm.Win32.Dabber.a）

病毒英文名：Worm.Win32.Dabber.a

病毒别名：Worm.Win32.Dabber.A (AVP)

病毒大小：29,696字节

病毒类型：蠕虫病毒

病毒危险等级：严重

病毒传播途径：系统漏洞/后门

病毒依赖系统：Windows 9X（可感染，但无危害）NT/2000/XP（可危害）

1．复制自己到系统目录并实现自启动

病毒运行后，将自己复制到%SYSTEM%目录，

c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录

及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录

文件名为：package.exe。

在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

中加入自己的键值：sassfix=%system%\package.exe，病毒使用"sas4dab"为互斥量。

2．试图清除一些病毒的注册表键值：

尝试删除注册表Run项中的以下键值，使之不能正常启动：

Video Process.

TempCom.

SkynetRevenge

MapiDrv

BagleAV

System Updater Service

soundcontrl

WinMsrv32

drvddll.exe

navapsrc.exe

skynetave.exe

Generic Host Service

Windows Drive Compatibility

windows.Microsoft Update

Drvddll.exe

Drvddll_exe

drvsys

drvsys.exe

ssgrate

ssgrate.exe

lsasss

lsasss.exe

avserve2.exe

avvserrve32.avserve

3．建立四个线程实现一些功能。

（1）后门：

病毒监视9898端口，等待客户端的连接。该后门可以执行一些如：执行文件，从特定网站下载文件等功能。

（2）TFTP服务器：

病毒监听69端口，实现一个tftp服务器，一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。

（3）一个空线程：

病毒作者并没有实现任何代码。（可能下个版本将实现）

（4）利用漏洞进行攻击

病毒利用本地系统的ip进行计算，找到攻击目标地址并尝试对其5554端口（震荡波的后门）的连接。

A．如果联接失败：

病毒将尝试对其9898端口的连接（用以识别目标系统是否已被病毒感染过），失败（目标系统没有被病毒感染）时病毒利用MS04-011漏洞对目标系统进行攻击，并利用自己的tftp服务器将自己复制过去。

B．联接成功：

病毒将尝试对其9898端口的连接（用以识别目标系统是否已被病毒感染过）当失败（目标系统没有被病毒感染）时病毒利用震荡波的后门将自己复制过去。

二、病毒名称：“震荡波杀手”（Worm.Cycle.a）

病毒英文名：Worm.Cycle.a

病毒别名：W32.Cycle(Symantec)

病毒大小：10,240字节

病毒类型：蠕虫病毒

病毒危险等级：危险

病毒传播途径：网络,文件感染

病毒依赖系统：Windows NT/2000/XP

病毒运行后将自己复制到%WINDIR%\system目录下，文件名：svchost.exe并在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run及HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru中加入自己的键值：Generic Host Service，病毒也将自己注册成服务以这些方式达到随系统启动而运行的目的。

病毒将建立一些病毒使用的互斥量，使中了该病毒的系统将对一些病毒有免疫力。这些互斥量为：Jobaka3、Jobaka3l、SkynetSasserVersionWithPingFast、JumpallsNlsTillt当病毒发现系统进程存在以下进程名时将杀死该进程：msblast.exe、avserve.exe、avserve2.exe、skynetave.exe接着病毒将启动一些功能线程实现病毒的一些动作。

1.tftp服务器：

病毒将监听69端口，实现一个tftp服务器。用来在利用漏洞攻击成功时把病毒文件传到被攻击系统上以达到传播的目标。

2.利用漏洞对和当前系统存在连接的系统进行攻击

病毒得到所有已和当前系统建立TCP联接的系统地址，并尝试利用漏洞MS-4011对其进行攻击。

3.后门：

病毒在监听TCP的 3332端口，以实现一个后门服务。（该功能没有完成，可能在下一个版本里进行完善。）

4.对局域网进行攻击

病毒得到当前系统的IP地址，并以此为基数进行计算，尝试利用漏洞MS-4011对其得到的ip地址进行攻击。

5.Dos攻击

当系统时间为5月18号以后时，病毒将对www.irna.com或www.bbc.com,www.bbcnews.com发动dos攻击.

6.病毒还将在%WINDIR%目录下生成一个名为：cyclone.txt的文件文件内容为：

Hi,My name is Cyclone and I live in Iran,

and I want to speak with you about problems that we have in iran:

A.In Iran we don't have any kind of freedom, because we have islamic republic in iran:

1.we can't speak freely about regime, we can't speak even a little bit against them!!!

2.I have to be a moslem otherwise they don't care about me!

3.we CAN'T even wear the clothes and styles that we wants!

4.women MUST wear a cloth that no one can even see their hair!!!

5.they do not allow our national celebrations to be held, they beat us!!

6.Many more...

B.The human rights is not implemented in Iran and there is no justice,

1.Lynch is very common in Iran. If you are against the regime then you may silently killed, or if there is a tribunal, you can't say anything, everyone works against you there.

2.1985-1990, the Islamic Republic of IRAN has been killed more than 10,000 Iranian youngs. that has been comfirmed by the documentations! This people killed without any tribunal or any proof.

3.there is a punishment that is used so much during this years, in this punishment, the person who must be killed stand in a hole then others attack him with stones, this will continue until he/she dead. there is some pictures and videos that shows this terrible torture!

4.Many more...

C.Misery and poverty grows in Iran, because the islamic republic leaders steal the money, they stolen the money that provided by selling oil, and then the people must die because they don't have enough money to even buy a bread!!!

D.Misery and poverty cause vice to grow, you see many young people in Iran using drugs and I think this is also a trick by the government to not allow us to arise against them!

E.Islamic republic gave Iran a bad name. before islamic republic we can travel

anywhere in the world without any problem but now we have so much problems if we want to travel a foreign country, anyone think that we are terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE ISLAMIC REPUBLIC OF IRAN IS TERRORIST.

The people of Iran trying to arise, but failed to do. About one year ago, Iranian people try to say to the world that we don't need Islamic republic but the government and police beat the people who try to tell the truth and they killed some people.

You see that they don't even care about their own people, think what happen if they gain access to an ATOMIC BOMB!!! it's very dangerous for the world.

With all of this conditions and injustices, european governments still support islamic republic, they say that they just care about their own country!

and I want to show them our WRATH!

All of the european people are my friends and I never want to harm them, just government and the Politicians!

If you protest against iraq war and say why there must be a war against iraq, and if you do this for humanity, please do anything that you can do for helping iranian people.

at least make your country not to support islamic republic anymore, I'm deadly sure that if european countries do not support islamic republic. it will be destroyed after 3-6 months!

so please help!I don't want to damage, I just want my country to grow, to improve!!! I have no other way to tell this words to world, sorry!!

专家提醒：

１、目前，不少病毒可以通过局域网进行，建议在局域网内只将共享资料夹给某些有需要的特定使用者，而不要将整个硬盘共享，并将所有要共享的文件设定成只读模式。减少病毒传播的途径。

２、很多网络病毒就通过猜测简单密码的方式对系统进行攻击，因此建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全系数。

３、购买和安装正版的杀毒软件和个人防火墙，并根据自身需求做好相应的设置，使其充分发挥作用。同时，要定期升级杀毒软件和防火墙，并启动实时监控功能。