以下的文章主要向大家講述的是安全知識堂之“震蕩波”的蠕蟲病毒，眾所周知2004年一個叫“震蕩波”的蠕蟲病毒席卷了全世界，導致數千萬的電腦癱瘓，數億的財產在這次浩劫中付諸東流。

2004年的“毒王”寶座最終被“震蕩波”病毒奪得。2004年“五一”期間及其后的短短的十幾天內，一個叫“震蕩波”的蠕蟲病毒席卷了全世界，數千萬的電腦癱瘓，數億的財產在這次浩劫中付諸東流。“震蕩波”一夜之間成為家喻戶曉的病毒，至今許多電腦用戶仍心有余悸，其毒性之大，造成后果之嚴重堪稱2004年之最。

“震蕩波”病毒自2004年5月1日首次被截獲以來，短短幾天席卷全球，12天之內接連出現6個變種。“震蕩波”由18歲的德國少年斯文·揚森編寫，該病毒跟2003年的“沖擊波”病毒非常類似，同屬于的網絡蠕蟲，感染Windows 2000、Windows Server 2003、Windows XP系統，它是利用微軟的MS04-011漏洞，通過互聯網進行傳播，但不通過郵件傳播。蠕蟲能自動在網絡上搜索含有漏洞的系統，在含有漏洞的系統的TCP端口5554建立FTP文件服務器，自動創建FTP腳本文件，并運行該腳本，該腳本能自動引導被感染的機器下載執行蠕蟲程序，用戶一旦感染后，病毒將從TCP的1068端口開始搜尋可能傳播的IP地址，系統將開啟上百個線程去攻擊他人，造成計算機運行異常緩慢、網絡不暢通，并讓系統不停重新啟動。

該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同，也是通過微軟的最新LSASS漏洞進行傳播，我們及時提醒廣大用戶及時下載微軟的補丁程序來預防該病毒的侵害。如果在純DOS環境下執行病毒文件，會顯示出譴責美國大兵的英文語句。

具體技術特征如下：

1.感染系統為：Windows 2000、Windows Server 2003、Windows XP

2.利用微軟的漏洞：MS04-011;補丁下載地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx

3.病毒運行后，將自身復制為%WinDir%\napatch.exe

4.在注冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建："napatch.exe" = %WinDir%\napatch.exe;這樣，病毒在Windows啟動時就得以運行。

5.在TCP端口5554建立FTP服務，用以將自身傳播給其他計算機。

6.隨機在網絡上搜索機器，向遠程計算機的445端口發送包含后門程序的非法數據，遠程計算機如果存在MS04-011漏洞，將會自動運行后門程序，打開后門端口9996。病毒利用后門端口9996，使得遠程計算機連接病毒打開的FTP端口5554，下載病毒體并運行，從而遭到感染。

7.病毒還會利用漏洞攻擊LSASS.EXE進程，被攻擊計算機的LSASS.EXE進程會癱瘓，Windows系統將會有1分鐘倒計時關閉的提示。

8.病毒在C:\win2.log中記錄其感染的計算機數目和IP地址

如何防范“震蕩波”

首先，用戶必須迅速下載微軟補丁程序，對于該病毒的防范，http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx。

金山或者瑞星用戶迅速升級殺毒軟件到最新版本，然后打開個人防火墻，將安全等級設置為中、高級，封堵病毒對該端口的攻擊。

非金山或者瑞星用戶迅速下載免費的專殺工具，下載地址為：http://dl.pconline.com.cn/html/1/8/dlid=13058&dltypeid=1&pn=0&.html。

如果用戶已經被該病毒感染，首先應該立刻斷網，手工刪除該病毒文件，然后上網下載補丁程序，并升級殺毒軟件或者下載專殺工具。手工刪除方法：查找該目錄C:\WINDOWS目錄下產生名為avserve.exe的病毒文件，將其刪除。上述的相關內容就是對安全知識堂之“震蕩波”的蠕蟲病毒的描述，希望會給你帶來一些幫助在此方面。

【編輯推薦】

1. 首款利用SSH漏洞的iPhone蠕蟲病毒現身
2. 如何在局域網內防止蠕蟲病毒的傳播？
3. Conficker蠕蟲病毒并未終結
4. UTM跨界組合情景視頻：蠕蟲病毒防御
5. 美國宅男高中生連放兩只Twitter蠕蟲病毒