标题:
我的机器许多端口被绑定了,怎么 回事啊?
[打印本页]
作者:
x86
时间:
2005-6-7 23:30
标题:
我的机器许多端口被绑定了,怎么 回事啊?
[这个贴子最后由x86在 2005/06/07 11:35pm 第 1 次编辑]
如图:
这么多的端口全这样的,而且一开机就有syn_sent(那时候什么都没有打开)
偶是不是中什么木马了???
进程表也没有发现什么可胰进程啊
今天早上刚刚查杀了个qq大盗木马,注册表里的也已经删除了,系统文件夹下的文件也删除了,然后杀毒软件又包了个css.exe病毒,也被我删除了,不过今天查毒的时候查到25个病毒,只杀了18个,其余的都没有处理....
作者:
chinanic
时间:
2005-6-8 06:07
标题:
我的机器许多端口被绑定了,怎么 回事啊?
晕,看过啦!
没见过的问题,找到答案再通知你!
作者:
chinanic
时间:
2005-6-8 08:13
标题:
我的机器许多端口被绑定了,怎么 回事啊?
病毒名称 Win32/Sasser.worm.15872
危险程度 可治疗日期 2004-05-01
种类 Worm 类型 Windows文件
症状
- 在WINDOW文件夹生成 avserve.exe文件.
- TCP 445号端口的试图连接增加.
- TCP 1000号~2000号和5554号端口处于LISTENING状态.
- 在WINDOW系统文件夹内生成以数字文件名_up.exe组成的多数文件.
- 被感染后过一段时间CPU使用率到100%,计算机速度也非常缓慢.
- 没有安装安全补丁的系统受攻击时发生错误,同时自动关闭系统.
内容
* 简要
Win32/Sasser.worm.15872, 此蠕虫利用 MS04-011漏洞传播. 被感染的系统在WINDOW文件夹内生成avserve.exe文件和以';数字_up.exe';组成的文件. 被感染后过一段时间CPU使用率到100%,计算机速度也非常缓慢, 同时生成c:\win.log文件.
没有安装安全补丁的系统受攻击时, 系统将自动关闭. 为了能够及时预防上述情况需要打上MS04-011漏洞补丁.
- MS04-011 漏洞(韩文)信息
- MS04-011 漏洞(英文)信息
* 传播方式
利用MS04-011漏洞传播蠕虫文件. 该蠕虫试图连接到某个IP地址的主机后,如对方有应答时发送异常数据包.
若系统上存在漏洞时,发生错误或被该蠕虫感染.
若打上MS04-011漏洞补丁能够预防该蠕虫同时也可以预防类似性质(利用MS04-011漏洞)蠕虫.
* LSASS 漏洞 (LSASS Vulnerability - MS04-011)
若没有打上MS04-011漏洞补丁的系统受攻击时,发生以下错误,同时自动关闭系统.
例如)
';系统关闭
正在关闭系统. 丢失所有未保存的修改内容. 关机是由NT AUTHORITY\SYSTEM 开始的.
系统关闭前等待的时间 : 00:00:60
-信息-----
系统进程
没有预料到';C:\WINNT\system32\lsass.exe';由状态代码128关闭. 需要关闭系统后重启.';
没有安装安全补丁的系统受攻击时, 系统将自动关闭.
为了能够及时预防需要打上补丁.
- MS04-011 漏洞(韩文)信息及补丁方法
- MS04-011 漏洞(英文)信息及补丁方法
* 使用的端口
被此蠕虫感染后,把TCP 1000~2000号端口打开成';LISTENING';状态, 并试图连接到某IP地址的TCP 455端口. 另外,TCP 5554, 9996端口也被利用.
例如) 被感染的系统上,确认NETSTAT –AN时
( 注意 : 每次的IP地址都不一样, 一部分用 xx代替 )
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1031 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1032 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1034 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1035 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1036 0.0.0.0:0 LISTENING
~~ 等等 ~~
TCP 0.0.0.0:2968 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2969 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2970 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2971 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2972 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2973 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2974 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5554 0.0.0.0:0 LISTENING
TCP 192.168.100.2:139 0.0.0.0:0 LISTENING
TCP 192.168.100.2:2865 xx.202.222.247:445 SYN_SENT
TCP 192.168.100.2:2866 3.xxx.142.75:445 SYN_SENT
TCP 192.168.100.2:2867 192.168.183.xxx:445 SYN_SENT
TCP 192.168.100.2:2868 192.168.122.xxx:445 SYN_SENT
TCP 192.168.100.2:2869 192.1.151.xx:445 SYN_SENT
TCP 192.168.100.2:2870 192.171.17.xxx:445 SYN_SENT
TCP 192.168.100.2:2871 192.168.253.xxx:445 SYN_SENT
~~ 等等 ~~
TCP 192.168.100.2:2972 xx.205.xxx.180:445 SYN_SENT
TCP 192.168.100.2:2973 192.xxx.41.36:445 SYN_SENT
TCP 192.168.100.2:2974 192.123.195.xxx:445 SYN_SENT
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1026 *:*
UDP 192.168.100.2:137 *:*
UDP 192.168.100.2:138 *:*
UDP 192.168.100.2:500 *:*
作者:
x86
时间:
2005-6-8 14:32
标题:
我的机器许多端口被绑定了,怎么 回事啊?
被感染的系统在WINDOW文件夹内生成avserve.exe文件和以';数字_up.exe';组成的文件. 被感染后过一段时间CPU使用率到100%,计算机速度也非常缓慢, 同时生成c:\win.log文件.
这些现象都没有出现,只有开了一大堆端口,还有今天忽然发现一个,名为slsorve.exe的进程,可是在system32文件夹里却没有发现该文件,郁闷ing ....
作者:
坏的刚刚好
时间:
2005-6-8 15:36
标题:
我的机器许多端口被绑定了,怎么 回事啊?
"slsorve.exe的进程该病毒采用visual basic语言编写,fsg加壳,运行后复制自身到系统目录下,文件名为“slsorve.exe”
到注册表下找找,病毒驻留的地方
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
发现可疑的删除
作者:
x86
时间:
2005-6-8 16:02
标题:
我的机器许多端口被绑定了,怎么 回事啊?
已经在整个注册表里搜了,发现2个,都被我删除了
作者:
skyxhc
时间:
2005-6-8 19:37
标题:
我的机器许多端口被绑定了,怎么 回事啊?
老大还不全面杀毒
作者:
x86
时间:
2005-6-8 22:08
标题:
我的机器许多端口被绑定了,怎么 回事啊?
杀不掉啊
作者:
chinanic
时间:
2005-6-8 22:19
标题:
我的机器许多端口被绑定了,怎么 回事啊?
这个要在系统里面仔细找啦!
睁大眼睛找,呵呵,够得你累的喽!
欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/)
Powered by Discuz! 7.2
