I-Worm/Sasser.d

I-Worm/Sasser.d

病毒类型：网络蠕虫

病毒大小：16384字节

感染系统：Windows 2000/2003/XP

传播方式：网络

该病毒为震荡波的最新变种。与该病毒前的版本相同，也是通过微软的最新LSASS漏洞进行传播。

传播过程及特征：

1.感染系统为：Windows 2000、Windows Server 2003、Windows XP

2.利用微软的漏洞：MS04-011

补丁下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx

3.病毒在某些Windows2000系统下运行，会报错：

The procedure entry point IcmpSendEcho could

not be located in the dynamic link library

iphlpapi.dll.

4.病毒运行后，将自身复制为%Windir%Skynetave.exe

5.在注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下添加键值："skynetave" = %Windir%skynetave.exe，这样病毒在Windows启动时就得以运行。

6.随机在网络上搜索机器，并试图通过TCP的445端口来进行感染计算机。

7.病毒搜索计算机后，将通过TCP端口9995发送一个建立FTP文件服务器的程序到被感染计算机，然后通过TCP端口5554打开一个FTP服务将蠕虫病毒下载到被感染的计算机上肆机运行。

江民KV系列用户处理对策:

(1)安装系统补丁程序:www.microsoft.com/technet/security/bulletin/MS04-011.mspx

(2)利用江民黑客防火墙关闭TCP端口455，9995，5554。

(3)升级江民杀毒软件KV2004到最新病毒库,来全盘搜索整个系统。

(4)删除病毒增加的注册表键值。

(5)开启KV2004的各项监视开关来预防病毒的入侵。

注：%Windir%为变量，一般为C:Windows 或 C:Winnt。