I-Worm/Sasser.f
病毒类型:网络蠕虫
病毒大小:74752字节
传播方式:网络
该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播。如果在纯DOS环境下执行病毒文件,会显示出谴责美国大兵的英文语句。
具体技术特征如下:
1.感染系统为:Windows 2000、Windows XP
2.利用微软的漏洞:MS04-011
补丁下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
3.病毒运行后,将自身复制为%WinDir%
apatch.exe
4.在注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下创建:
"napatch.exe" = %WinDir%
apatch.exe
这样,病毒在Windows启动时就得以运行。
5.在TCP端口5554建立FTP服务,用以将自身传播给其他计算机。
6.随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。病毒利用后门端口9996,使得远程计算机连接病毒打开的FTP端口5554,下载病毒体并运行,从而遭到感染。
7.病毒还会利用漏洞攻击LSASS.EXE进程,被攻击计算机的LSASS.EXE进程会瘫痪,Windows系统将会有1分钟倒计时关闭的提示。
8.病毒在C:win2.log中记录其感染的计算机数目和IP地址。
江民KV系列用户处理对策:
(1)KV用户5月1日的病毒库即可查杀。专杀工具用户请访问http://www.jiangmin.com,下载最新的震荡波病毒专杀工具。
(2)安装系统补丁程序:www.microsoft.com/technet/security/bulletin/MS04-011.mspx,或下载江民公司的内存补丁程序。
(3)利用江民黑客防火墙关闭TCP端口445,5554,9996;
(4)删除病毒增加的注册表键值。
(5)开启KV系列杀毒软件的各项监视开关来预防病毒的入侵。
注:%System%为变量,一般为C:WindowsSystem (Windows 95/98/Me),
C:WinntSystem32 (Windows NT/2000), 或
C:WindowsSystem32 (Windows XP)。