病毒别名:W32.Sasser.e.Worm [Symantec]
处理时间:2004-05-09
威胁级别:★
中文名称:震荡波
病毒类型:蠕虫
影响系统:Win2000/WinXP
病毒行为:
编写工具:
Microsoft Visual C++ 6.0
传染条件:
该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)],关于该漏洞的更多信息请访问:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
发作条件:
系统修改:
A、将自身复制到%SystemRoot%lsasss.exe (通常为C:WinNT或C:Windows)
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"lsasss.exe" = %SystemRoot%lsasss.exe
C、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下删除以下键值:
ssgrate.exe
drvsys.exe
Drvddll_exe
此三个键值分别为Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三个病毒创建。
F、拷贝其本身至系统目录:%System%<4或5位随机数字>_upload.exe (通常为WinNTSystem32或WindowsSystem32)
G、在C盘根目录下建立文件ftplog.txt,记录最近试图攻击的IP及攻击成功的主机的数目
发作现象:
A、它开启TCP端口1023来建立一个FTP服务器,用来当作感染其他机器的服务器。
B、开启128线程扫描随机IP,跳过如下保留IP:
127.0.0.1
10.x.x.x
172.x.x - 172.31.x.x (保留IP)
192.168.x.x
169.254.x.x
在确定目标可达后会试图连接目标的的TCP 445端口.
C、如果连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开1022端口。然后,被攻击的计算机将会自动连接被感染计算机的1023端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_upload"的组合,如(78456_upload.exe).
D、病毒启动后会每隔一秒调用系统API——AbortSystemShutdown 来限制系统重启或关机,在两个小时后显示下面的信息:
1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar
the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch
from the www.microsoft.com website
4. This is an message from the SkyNet Team for
malicious activity prevention
特别说明:
此病毒利用微软漏洞进行攻击,会清除其它木马的键值,从病毒信息来看, SkyNet Team已经有此病毒代码。