概要
病毒別名:W32.Sasser.e.Worm 【Symantec】
處理時間:2004-05-09
威脅級別:★
中文名稱:震盪波
病毒類型:蠕蟲
影響系統:Win2000/WinXP
病毒行為:
編寫工具:
Microsoft Visual C++ 6.0
傳染條件:
該自運行的蠕蟲通過使用Windows的一個漏洞來傳播【MS04-011 vulnerability (CAN-2003-0907)】,關於該漏洞的更多信息請訪問:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
發作條件:
系統修改:
A、將自身複製到%SystemRoot%lsasss.exe (通常為C:WinNT或C:Windows)
B、在註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"lsasss.exe" = %SystemRoot%lsasss.exe
C、在註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下刪除以下鍵值:
ssgrate.exe
drvsys.exe
Drvddll_exe
此三個鍵值分別為Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.x三個病毒創建。
F、拷貝其本身至系統目錄:%System%<4或5位隨機數字>_upload.exe (通常為WinNTSystem32或WindowsSystem32)
G、在C糟根目錄下建立檔案ftplog.txt,記錄最近試圖攻擊的IP及攻擊成功的主機的數目
發作現象:
A、它開啟TCP連線埠1023來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
B、開啟128執行緒掃描隨機IP,跳過如下保留IP:
127.0.0.1
10.x.x.x
172.x.x - 172.31.x.x (保留IP)
192.168.x.x
169.254.x.x
在確定目標可達後會試圖連線目標的的TCP 445連線埠.
C、如果連線成功,則被感染計算機向被連線機器發動溢出攻擊,溢出成功則會在被連線機器上打開一個shell,並打開1022連線埠。然後,被攻擊的計算機將會自動連線被感染計算機的1023連線埠並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_upload"的組合,如(78456_upload.exe).
D、病毒啟動後會每隔一秒調用系統API——AbortSystemShutdown 來限制系統重啟或關機,在兩個小時後顯示下面的信息:
1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar
the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch
from the www.microsoft.com website
4. This is an message from the SkyNet Team for
malicious activity prevention
特別說明:
此病毒利用微軟漏洞進行攻擊,會清除其它木馬的鍵值,從病毒信息來看, SkyNet Team已經有此病毒代碼。
