病毒名称:蠕虫病毒Win32.Sasser.A
其它名称:Win32.Sasser!FTP, W32/Sasser.A (F-Secure), WORM_SASSER.A (Trend), Bat/Sasser.A.Componenet.Trojan, Win32/Sasser.Worm, W32/Sasser.worm (McAfee), W32.Sasser.Worm (Symantec), Worm.Win32.Sasser.a (Kaspersky)
病毒属性:蠕虫病毒 危害性:高危害 流行程度:高
具体介绍:
病毒特征
Win32.Sasser.A是一个通过Windows 2000, XP and 2003 server的系统漏洞(ms04-001)传播的蠕虫病毒,病毒文件长度为15,872字节。
感染方式
病毒文件执行后,Sasser.A将自身复制到:%Windows%avserve.exe 目录。之后修改注册表,以便系统启动时自动执行:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
avserve.exe = "%Windows%avserve.exe"
传播方式
Sasser.A会使用TCP 445端口随机扫描ip地址。如果连接成功,将试图利用"Microsoft Windows LSASS buffer overflow vulnerability" 进行传播。
微软提供的此漏洞补丁地址:
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
病毒利用这个漏洞在远程机器上建立一个ftp脚本(cmd.ftp)在系统目录中。病毒使用ftp服务在被感染的机器上,利用端口5554,之后通过ftp.exe执行病毒生成的脚本将病毒文件传输过去并执行。传输的病毒文件将放置在系统目录中,文件名是"随机数字_up.exe"
例如:
C:WINDOWSsystem3212756_up.exe
C:WINDOWSsystem3210831_up.exe
受到感染的机器的 LSASS 服务可能会终止,并会显示如下提示:
病毒在进行端口扫描时会产生大量的线程,并且将扫描的IP地址记录到染毒机器的c:win.log文件中。
附:Sasser病毒的专用清除工具:Clnsasser.zip。>>下载
清除:
Kill 安全胄甲InoculateIT 23.65.3,Vet 11.x/8310 版本可检查/清除此病毒。
