冲击波的处理方法吧

目前最显著的症状就是如下的:




由于程序缺陷，冲击波的漏洞感染过程并不总是能够成功，如果失败的话就会出现如上图所示
的症状，系统LSASS进程将发生异常，系统被强制重启。

LSA服务是Windows系统中处理安全认证的核心服务。在M$
04-011/04-012公告中发布了两个严重漏洞，会导致一系列重要的系统服务产生缓冲区溢出。
一段时间之后，终于开始有公开的攻击代码流传，紧接着一系列的蠕虫就开始登场了，冲击波
只是个开始，而不是结束。可以预见，今后一段时间内类似前段时间netsky蠕虫大战之类的时
间将会持续升温，至少半年之内整个Internet将会不得安宁。

冲击波蠕虫利用上述漏洞，在系统上取得控制权后，打开TCP:9996端口并绑定cmd.exe，然后
连接上来，通过ftp将蠕虫自身传输到系统目录下，被感染主机将会在TCP:5554监听并接受ftp
请求。蠕虫主体文件名为“[4-5位随机数字]_up.exe”，例如“c:\WINDOWS\system32\11583_
up.exe”。传输完毕后，蠕虫文件就会被执行，进行以下操作：

1、将自身拷贝到 %SystemRoot%\avserve.exe 并在注册表主键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe
这将导致每次系统重起时该蠕虫被自动运行。

2、在C盘根目录创建文件win.log，里面记录本地主机的IP地址。

3、在本地的5554端口建立FTP服务器，用于传播自身。

4、扫描并攻击网络上的其他主机的TCP/445端口，一旦攻击成功，就在被攻击的主机的TCP
9996端口上启动一个shell程序，然后回连到本地的FTP服务器上下载蠕虫并运行。

当然这只是这系列蠕虫中的第一个变种，目前还很不完善，例如会引起各种系统异常等等。从
netsky所表现出的迹象看，这个蠕虫将会很快被修改产生新的变种，传播过程和表现方式等可
能都会趋于完善。



>>2. 查找
查找，主要分为查找已感染主机和未感染但有潜在缺陷主机两方面。

1、首先单机或个人主机，最简单的方法就是根据第一步中的步骤，查看是否存在上述的异常
状态，例如病毒文件主体，异常进程和端口，系统崩溃和日志，以及网络流量和系统负载方面
的异常等等。另外，目前几乎所有的杀毒软件都已经升级了针对本蠕虫的规则库，使用杀毒软
件检查也是一种不错的方法，但是有可能无法杀除，或者会遇到新的变种。

2、小规模的网络，可以使用eeye的sasser扫描工具进行网络扫描，这个版本只能进行C类网络
扫描，更大规模的则变成商业版本了。
http://www.freedemon.org/etc/sasser/RetinaSasser.exe
扫完之后会得到一份报告，然后根据报告在目标主机上运行杀除工具，并且安装系统补丁。

3、通过Sniffer类工具作被动扫描也是种不错的方法。使用Sniffer
Pro加载filter，然后在核心网络线路上对网络流量进行过滤，所有主机的感染和传播流量都
会被记录下来，然后再根据这个列表进行相应处理。
Sniffer Pro的相关Filter:
http://www.freedemon.org/etc/sasser/MS04-011-Filter.zip
http://www.freedemon.org/etc/sasser/MS04-012-Filter.zip
http://www.networkassociates.com/us/security/resources/sv_home.htm#filters

4、某些主机可能当前并没有感染蠕虫，但是同样存在漏洞，有被感染的潜在风险，可以用Ret
inaSasser或者各种安全评估软件例如nessus进行漏洞扫描，然后进行针对的修补措施。



>>3. 杀除
1、首先最简单的方法就是各种杀毒软件，McAfee和KAV都还是很不错的；如果是服务器或者没
有安装杀毒软件的主机，那么可以用这个工具Nai
Stinger进行查杀，Stinger不但可以查杀冲击波，并且对codered之后的大多数网络蠕虫都有
相应的处理措施，是个不错的专杀工具。
http://download.nai.com/products/mcafee-avert/stinger.exe

2、
杀完之后记得最重要的一件事就是打补丁，否则将立刻会再次被感染...最安全的方式是把杀
除工具和补丁包都拷贝到目标主机，然后离线进行查杀。

windows系统补丁包:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

3、网络措施，最后一条推荐措施，如果你的网络不是很复杂，边界够清晰的话，建议在网络
边界的防火墙(或网关/路由器)上加载防火墙规则，屏蔽如下端口来自Internet的访问:

Block TCP ports 135, 139, 445, 593
Block block UDP ports 135, 137, 138, 139, 445 and TCP ports 138, 139,
445, 593
Block all unsolicited inbound traffic on ports greater than 1024
Block any other specifically configured RPC port
Block COM Internet Services (CIS) or RPC over HTTP, which listen on
ports 80 and 443

针对MS 04-011
Block LDAP TCP ports 389, 636, 3368, and 3369
Block TCP 1720, and 1503, both inbound and outbound
Block ports 443 and 636

针对sasser
Block TCP ports 5554, 9996

Win2k系列系统单机可以使用IP过滤，IPSEC过滤或个人防火墙完成；
网关出口可以在防火墙上设置，如果使用其他设备如路由器等可以加载ACL，但是注意网络流
量引起的设备负载。



>>4. 相关链接
M$安全公告
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

eeye网络查找工具
http://www.freedemon.org/etc/sasser/RetinaSasser.exe

McAfee杀除工具
http://download.nai.com/products/mcafee-avert/stinger.exe

Sniffer Pro的Filter
http://www.freedemon.org/etc/sasser/MS04-011-Filter.zip
http://www.freedemon.org/etc/sasser/MS04-012-Filter.zip
http://www.networkassociates.com/us/security/resources/sv_home.htm#filters