名稱
相關資料
病毒信息:病毒名稱: Worm.Sasser.e
中文名稱: 震盪波變種E
威脅級別: 4A
發現日期: 2004.05.09
處理日期: 2004.05.09
病毒別名:
W32.Sasser.E.Worm 【Symantec】
Worm.Sasser.e 【瑞星】
病毒類型: 蠕蟲
受影響系統: Win2000/WinXP
破壞方式:
· 利用WINDOWS平台的 Lsass 漏洞進行廣泛傳播,開啟上百個執行緒不停攻擊其它網上其它系統,
· 堵塞網路。病毒的攻擊行為可讓系統不停的倒計時重啟。
· 和最近出現的大部分蠕蟲病毒不同,該病毒並不通過郵件傳播,而是通過命令易受感染的機器下載特定檔案並運行,來達到感染的目的。
特別說明:
此病毒利用微軟漏洞進行攻擊,會清除其它木馬的鍵值,從病毒信息來看, SkyNet Team已經有此病毒代碼。
傳染條件:
該自運行的蠕蟲通過使用Windows的一個漏洞來傳播【MS04-011 vulnerability (CAN-2003-0907)】,關於該漏洞的更多信息請訪問:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
技術特點:
. 將自身複製到%SystemRoot%\\\\lsasss.exe (通常為C:\\\\WinNT\\\\或C:\\\\Windows)
. 在註冊表主鍵:
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
下添加如下鍵值:
"lsasss.exe" = %SystemRoot%\\\\lsasss.exe
. 在註冊表主鍵:
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
下刪除以下鍵值:
ssgrate.exe
drvsys.exe
Drvddll_exe
此三個鍵值分別為Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.x三個病毒創建。
. 拷貝其本身至系統目錄:%System%\\\\<4或5位隨機數字>_upload.exe (通常為WinNT\\\\System32或Windows\\\\System32)
. 在C糟根目錄下建立檔案ftplog.txt,記錄最近試圖攻擊的IP及攻擊成功的主機的數目
. 它開啟TCP連線埠1023來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
. 開啟128執行緒掃描隨機IP,在確定目標可達後會試圖連線目標的的TCP 445連線埠.
. 如果連線成功,則被感染計算機向被連線機器發動溢出攻擊,溢出成功則會在被連線機器上打開一個shell,並打開1022連線埠。然後,被攻擊的計算機將會自動連線被感染計算機的1023連線埠並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_upload"的組合,如(78456_upload.exe).
. 病毒啟動後會每隔一秒調用系統API——AbortSystemShutdown 來限制系統重啟或關機,在兩個小時後顯示<如圖>的信息:
發作現象:
病毒攻擊時會引啟系統的倒計時重啟或出錯
解決方案:
· 請升級毒霸到5月9日的病毒庫可完全處理該病毒;
·請到以下網址即時升級您的作業系統,免受攻擊
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
·請用個人防火牆禁止連線埠:445、5554和9996,防止名為avserve.exe的程式訪問網路。
· 手工解決方案
首先,若系統為WinXP,則請先關閉系統還原功能;
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務
管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“lsasss.exe”或任何前面是4到5個數字後面緊接著_upload.exe(如 74354_up.exe)的進程,單擊“結束進程按鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
通過“我的電腦”或“資源管理器”進入系統目錄(Winnt或windows),找到檔案
"lsasss.exe",將它刪除;然後進入系統目錄(Winnt\\\\system32或windows\\\\system32),找到文
件"*_upload.exe", 將它們刪除;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始->運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
在右邊的面板中, 找到並刪除如下項目:
"lsasss.exe" = %SystemRoot%\\\\lsasss.exe
關閉註冊表編輯器..
