欢迎光临 Rick 's BLOG
日志首页  | C# .Net编程  | 原创作品  | 生活点滴  | C\C++相关  | 多媒体相关※ERMP  | VB相关  | 其它运维与编程  |  留言簿
让IE稍微安全一点点 cmos解密研究
未知  新冲击波?Lsass.exe出错然后自动重启
[ 发布日期:20年前 (2004-11-23) ]   [ 来自:Original ] [分类:C# .Net编程]
最近很多朋友说电脑无故的重启,nt authority\system,还有c:\windows\system32\lsass.exe,-10737什么的这样一个窗口,大概有40S左右的时间,自动关机后重新启动,

检查发现启动栏里有个dumprep O-u的启动项(有的是dumprep O-k),禁掉后又会有,症状跟以前的冲击波差不多。

今天好像很多人都中招了,重装系统也没用 [mood53]

估计是利用LSASS漏洞攻击
冲击波病毒的特征是显示:

由NT Authouity/system 初始的”“Remoto Procedure Call(RPC)服务意外终止,必须重新启动电脑

然后倒计时重启,和这个病毒显示的内容不同,所以应该是一种新的病毒~~~


我的建议是大家赶快安装防火墙,然后关闭除80和21以外所有端口~~~~[mood73]

还有尽快安装这个补丁:
http://www.microsoft.com/china/t ... letin/ms04-011.mspx

目前有90%以上的Windows2000/XP/2003用户没有给这个系统漏洞打上补丁程序,此前在MS04-011号安全公报中公布的这个漏洞被微软定为最高级

另:微软官方公告:http://www.microsoft.com/china/t ... ent/pctdisable.mspx
补丁下载地址:http://www.microsoft.com/china/t ... letin/ms04-011.mspx

建议所有 Win2000、XP、2003 用户安装补丁,或者启用防火墙。

染毒计算机的主要症状为: 
(1)进程中出现 avserve.exe 和 *****_up.exe,占用大量资源; 
其中*****为从0~65535之间的随机数字 
(2)出现LSA Shell错误; 
(3)导致系统进程lsass.exe错误,并进而导致计算机强迫重启; 
(4)有网友反馈计算机的管理员权限帐户口令被修改(未证实)。 

病毒原理: 
病毒首先生成 C:\WINNT\system32\*****_up.exe (这个文件名是随即的 但_up.exe一定 其中*****为从0~65535之间的随机数字)并执行。 
然后建立文件:C:\WINNT\avserve.exe,并在注册表中建立/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/avserve.exe项。 
病毒在本机启动3000多tcp 端口对外扫描tcp 445。(原来如此,把socket全占光了)待毒计算机的网络应用可能无法正常打开。 

清除方法 
首先按 ctrl+shift+esc 调出任务管理器 在进程中关闭 averve.exe 
然后打好补丁 3 个补丁:KB837001,KB828741,KB835732 
删除注册表的相应键值 (run 中 输入 regedit) 
删除相应位置的的文件 avserve.exe (c:\windows 或 c:\winnt 下) 
*****_up.exe 文件 c:\windows 或 c:\winnt 下 system32 里 
通过安装防火墙或者手动关闭计算机的445端口
XP补丁直接下载:
http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
2K补丁直接下载:
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
引用通告地址 (0):
复制引用地址https://www.rickw.cn/trackback/53
复制引用地址https://www.rickw.cn/trackback/53/GBK
[ 分类:C# .Net编程  | 查看:5115 ]
下一篇: cmos解密研究

引用这个评论  (访客) 于 2006-04-05 14:33:42 发表评论:


最烦电脑问题了
引用这个评论  (访客) 于 2005-09-13 08:35:31 发表评论:
我的管理员密码就被换了.我一旦进入屏保,或切换用户,输入原先密码,均提示密码不对.

发表评论
作者:   用户:[访客] 
评论:

表  情
禁止表情 | 禁止UBB | 禁止图片 | 识别链接
对不起,你没有权限上传附件!
验证:
 
PoweredBy R-Blog V1.00 © 2004-2024 WWW.RICKW.CN, Processed in second(s) , 7 queries    京ICP备17058477号-5