卡巴斯基网络攻击图_卡巴斯基全球网络攻击网站

卡巴斯基提示网络攻击

Intrusion.Win.MSSQL.worm.Helkern是一种危害很大的蠕虫病毒.该蠕虫使用了一种缓冲区溢出漏洞来进入受害者的机器。它会把自己发送到一个随机IP地址的Microsoft SQL1434端口.这就是为什么有多朋友看到它在进攻自己计算机的原因.其实大家不需要担心.这个病毒它只会感染电脑的内存.(你关机后它就没了)更何况在卡巴的防御下是绝对不会出现或者保存在你电脑里的.

病毒简单描述：

Worm.SQL.Helkern是一种危害广泛的蠕虫，该蠕虫自2003年1月25日开始在全球传播，造成了很多地区的网络瘫痪。这个蠕虫是内存蠕虫，也不在系统留下任何后门，因此只要重新启动，蠕虫就会被清除，只是由于全球有大量机器被感染后在不停的扫描，所以可能开机后立即就被感染。而被感染后，由于资源迅速耗尽，可能进入假死状态，影响用户配置和补丁操作。

同时，由于全球用户都在通过微软下载，微软的网站将会很慢，有可能难以下载升级补丁。用户可以按照如下次序处理。

其实卡巴提示你表示该攻击已经被拦截,最简单的处理方法就是不理,不处理,因为对你没什么伤害.

如果非要处理 这有个方案,不过可行性未验证过，你如果非要尝试,可以去看下.

处理方案如下：

也可以卡巴斯基禁用端口，步骤如下：

打开卡巴斯基7.0设置---防火墙---设置（过滤系统设置）---包过滤规则---添加---在属性里面选本地端口---在规则描述里面点击输入端口---输入完毕确定---在规则描述里点击允许（点击后变为阻止）---确定，OK了！

卡巴斯基检测到网络攻击

电脑被攻击没办法,IP地址已经被黑客知道了.如果早安装卡巴斯基kis的防火墙可以隐藏IP地址. -- 检测到了,说明攻击失败,想一下,如果老是攻击失败,我想黑客不会一直攻击这部电脑.

卡巴斯基网络实时攻击地图是真的吗

卡巴斯基网络实时攻击地图是真的。

因为卡巴斯基实验室上线了一张描述全球网络安全的实时互动地图，是实时更新的，是威胁实时地图的，所以kaspersky网络威胁实时地图是真的。

地图是遵循相应的数学法则将地球也包括其他形体上的地理信息，通过科学的概括并用符号系统表示在一定载体上的图形。

我的“卡巴斯基杀毒软件”一直显示网络攻击lovesan？

蠕虫病毒 Worm.W32.Lovsan 正以其惊人的速度和破坏力在互联网上蔓延

全球著名数据安全公司 Kaspersky Labs 公司最新宣布：一种名为" Worm.W32.Lovsan "的

互联网蠕虫病毒正在迅速传播，该病毒的危险性极大。仅数小时，"Lovesan"病毒已迅速攀

升到恶性流行病毒排行榜的三甲位置。Kaspersky Labs 病毒专家强烈建议广大用户立即从

微软网站下载相关 补丁程序，尽快阻止69、135、4444端口。

Lovesan是利用微软的DCOM RPC漏洞（具体描述请参考MS Security Bulletin MS03-026）

进行传播的网络蠕虫病毒。

Lovesan用C语言编写，利用LCC编译，是Windows PE 可执行文件，大小约为6KB（用UPX压

缩工具，解压后为11KB）。

Lovesan企图去下载安装msblast.exe文件，该文件有以下的文本

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible? Stop making money and fix your soft

ware!!

被感染后的征兆：

· 在Windows system32文件夹中有MSBLAST.Exe文件

· 提示错误信息：RPC服务失败，系统重启。

传 播

Lovesan会在系统每次重启后，在系统注册表中注册以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

windows auto update="msblast.exe"

该蠕虫会扫描网络中的其它机器，企图感染有此漏洞的PC，它随机选择任意的20个IP地址

，然后在间隔1.8秒后再去感染它任意选择的另外20个IP地址，Lovesan以以下的方式选择

要扫描IP地址：

1约3/5概率，Lovesan会对IP地址（A.B.C.D）各个位置分别置值，A、B、C的数值在0-255

之间随机选择，D段置零。

2. 约2/5概率，Lovesan会扫描感染机器上的本网段的IP地址。A和B的值与本网段相同，D

值设为0，C的值以以下的方式产生：

如果本网络的C值小于20，那么lovesan不修改这个值，如，现在本网段的IP地址是20

7.46.14.1，则该蠕虫将扫描从207.46.14.0开始的网段。

如果C值大于20，那么Lovesan则在1-19之间选择一个数值，如，本网段被感染机器的

IP地址是207.46.134.191，那么该蠕虫将在207.46.{115-134}.0之间扫描。

Lovesan将通过TCP 135端口发送造成对方计算机缓冲区溢出的请求，被感染的计算机将开

放TCP 4444端口，打开相应的command 界面。

Lovesan对开放4444端口的计算机强行运行FTP的'get'请求，这样从感染的计算机上就下载

了蠕虫病毒，如此，有漏洞的PC也随之感染。

其它信息

一旦感染上Lovesan，它将发送RPC服务失败的信息并重新启动计算机。

到2003年8月13日，Lovesan将对Windowsupdate.com网站发起DDOS攻击。

==================================================================

Worm.Win32.lovesan 病毒解决方案

病毒名称：Worm.Win32.lovesan

发作时间：随机

病毒类型：蠕虫病毒

传播途径：网络/RPC漏洞

依赖系统： WINDOWS 2000/XP/2003

病毒尺寸：6,176 字节

病毒发作现象：

Worm.win32.lovesan 病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计

算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞(RPC DCOM缓冲溢出漏洞的

详细信息, 请访问以下微软网页:

technet/security/bulletin/MS03-026.asp)，具体涉及的操作系统是：Windows2000、XP

、Server 2003。该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有

时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、

无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。

下面是弹出RPC服务终止的对话框的现象：

病毒详细说明：

1. 病毒运行时会将自身复制到window目录下，并命名为： msblast.exe。

2. 病毒运行时会在系统中建立一个名为："BILLY"的互斥量，目的是病毒只保证在内存中

有一份病毒体，为了避免用户发现。

3. 病毒运行时会在内存中建立一个名为："msblast.exe"的进程，该进程就是活的病毒体

。

4. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe

rsion\Run中添加以下键值："windows auto update"="msblast.exe"，以便每次启动系统

时，病毒都会运行。

5. 病毒体内隐藏有一段文本信息：I just want to say LOVE YOU SAN!!billy gates wh

y do you make this possible ? Stop making money and fix your software!!

6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP

/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进

行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。

7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。

8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。

然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到

目标计算机上并运行。

9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系

统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Wind

ows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。

10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"wi

ndowsupdate.com"发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。

清除步骤 :

1. 删除注册表中的自启动项目

删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行

●单击 开始运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器

●在左边的列表中双击以下项目：

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionRun

●在右边的列表中查找并删除以下项目

Windows auto update" = MSBLAST.EXE

● 关闭注册表编辑器.

2. 应用补丁

1. 建议所有受影响的用户安装微软在以下连接发布的补丁程序：

-026.asp

（注：在打此补丁程序前，请确认该计算机系统已打补丁到SP2以上，否则无法安装）

3. 终止恶意程序

此步骤用于中止内存中运行的恶意程序进程。

●打开Windows任务管理器

CTRL+SHIFT+ESC,然后单击进程选项卡

●在运行的程序清单中*, 查找如下进程:

MSBLAST.EXE

●选择恶意程序进程，然后按"终止任务"或是"中止进程"按钮。

●为确认恶意程序进程是否中止，请关闭任务管理器并再次打开

● 关闭任务管理器

(如果无法终止恶意进程，请在打好系统补丁后重新启动系统)

4．升级您的病毒软件，全面扫描磁盘文件，清除病毒。

问答：

1. Lovesan, Lovsan, Blaster, Msblast and Poza这些病毒有何区别？

没有任何区别-以上这些名称是同一病毒的不同名字，Kaspersky Labs反病毒专家统一将其

命名为Win32.worm.Lovesan，目前Lovesan病毒有三个变种，一些病毒厂商将其分别标识为

'a'、'b'、'c'。

2. 如何判断我的计算机已感染了Lovesan病毒？

可以从以下的现象看到端倪:

o 在系统目录（通常是在C:\Windows\Systems32\）中看到以下文件Msblast.exe, Teekid

s.exe or Penis32.exe

o 机器异常地频繁重启

o 使用Word、Excel或Outlook出现一些问题或错误提示

o Svchost.exe文件错误提示信息

o RPC服务失败调用的信息（如下图所示）

3. Lovesan病毒会对我的计算机造成什么样的破坏？

Lovesan不会对个人计算机造成致命的破坏，它即不删除也不改变或窃取入侵计算机的数据

，Lovesan的破坏性主要在于通过大量的病毒复制，造成全球信息流的拥塞，及WWW服务的

降低。

Lovesan会造成计算机负载增加，并在8月16日对Windowsupdate.com网站发起DdoS攻击，这

样，用户将丧失从微软升级站点下载补丁的机会。

Kaspersky Labs继续强烈建议用户在8月16日之前下载微软提供的相关补丁。

4. Lovesan会攻击那些版本的Windows操作系统？

Lovesan会攻击 Windows NT, 2000 and XP以下版本：

a) Windows NT 4.0 Server

b) Windows NT 4.0 Terminal Server Edition

c) Windows 2000

d) Windows XP 32 bit Edition

e) Windows XP 64 bit Edition

f) Windows Server 2003 32 bit Edition

g) Windows Server 2003 64 bit Edition

5. 我怎么样才能保护我的计算机免受病毒的破坏？

按以下步骤操作可加固你的计算机：

a) 升级病毒数据库并保证在访问互联网时它处于实时监控状态

b) 阻止防火墙69、135、4444 这三个端口

c) 下载安装微软修补DCOM RPC漏洞的补丁

注意：安装微软的补丁是至关重要的，它可以保护你的计算机抵抗所有有关DCOM RPC漏洞

而发起的攻击。

6. 对于Lovesan病毒，防火墙能做什么？

防火墙能过滤恶意程序并阻止未授权的访问，对于网关级的防火墙请关闭135、69、4444端

口，对于使用个人版防火墙的用户也要采取类似的配置。

7. 因为我的计算机频繁地重启，所以无法下载微软的补丁，怎么办？

如果你的计算机频繁重启，及有可能已感染了Lovesan病毒，在这种情况下你需要将系统目

录（通常是c:\Windows\System32\）下的T文件重命名，并检查Windows\System32

\dllcache文件无误，在下载安装完微软的相关补丁后，需将已改名的T恢复到原来

的名字。

8. 如果我的计算机已经感染了Lovesan病毒，我该怎么做？

首先你需要运行反病毒程序，并确保现在的病毒数据库可以查杀Lovesan病毒。

Kaspersky Labs提供专杀工具，它即能删除本地硬盘，也能删除网络驱动器中的病毒文件

，同时它完全删除系统注册表中的病毒更改的键值，一旦清除Lovesan病毒后，系统重启。

并在重启后请随即启动反病毒保护。

从以下链接下载专杀工具：

· Zipped 版:

· 解压版:

· 工具说明:

9. 我使用Lovesan的专杀工具，但是我的计算机又重复被感染，为什么？

这个工具仅仅能清除Lovesan病毒，但是它不能保护你的计算机会再次遭受到类似的攻击，

如何长期有效避免，请参考第5条FAQ。

--

当你的电脑被病毒或者木马侵害的时候，请到virus版。

如果你受益于virus版，那么今后就请你帮助你的病友们，因为你深知他们所处的境地。

如果virus版未能如你所愿，那么也请你为了他们，将后来跟病毒斗争的经验告诉他们。

当你对病毒反病毒技术感兴趣的时候，请到virus版。共同提高、共同关心计算机安全。

virus版需要每一位网友的支持！

卡巴斯基经常提示网络攻击，怎么解决？

这个没办法解决，这个攻击来自于网络，你不知道他什么时候攻击你，你只能随时升级杀毒软件，配置好防火墙，这样就算他攻击也没用，你也可以顺便再装上一个攻击反弹的软件，只要检测到攻击就会把攻击拦截下来，并且原路攻击回去，你试试吧

有谁能帮助我,我的卡巴斯基显示网络攻击是怎么回事情

intrusion.win.lsass.asn1-kill-bill.exploit

是微软ms05039的exploit漏洞，叫“狙击波” (Worm_Zotob.A)及其变种就是利用微软刚刚公布的系统严重漏洞（Windows Plug and Play 服务漏洞 (MS05-039)）攻击TCP端口445，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。会屏蔽大量的安全软件网站,并从网上下载文件,并且会在受感染的机器的文件中搜索电子邮件地址,并向搜索到的地址发送邮件，严重影响到用户的安全（窃取用户信息进行发送）。

无需担心，因为攻击你的电脑自己感染了狙击波病毒，受到病毒控制，并非黑客。

解决办法：1.给系统打上上述补丁。

2.将Net Bios 禁用，关闭TCP 445端口。

攻击你的人属于“菜鸟黑客”，这种人不懂程序，拿着别人写的黑客软件胡乱攻击，真正的黑客不会对个人电脑感兴趣，真正的黑客是“来了也不会让你察觉，偷点资料就走”的；其实“菜鸟黑客”也是很可怜的，他们之所以在网上攻击别人，是因为他们在现实世界中属于“弱势群体”，总是被别人欺负，所以用这种方式发泄，想要找回在现实世界中没有的成就感。