病毒信息:
病毒名称: Worm.Sasser.d
中文名称: 震荡波变种D
病毒长度: 16,384 字节
威胁级别: 4A
病毒类型: 蠕虫
受影响系统: WinNT/Win2000/WinXP/Win2003
发现日期: 2004.05.03
处理日期: 2004.05.03
发作现象:
• 它开启TCP端口5554来建立一个FTP服务器,用来当作感染其他机器的服务器。
•开启128线程扫描随机IP,但是将跳过以下的保留IP:
127.0.0.1
10.*.*.*
172.16.*.* - 172.31.*.*
192.168.*.*
169.254.*.*
在确定目标可达后会试图连接目标的的TCP 445端口.如果连接成功,则开始对该目标进行攻击,并把最近攻击的一个目标的ip地址和攻击成功的目标数目保存到C:\win2.log。
•如果连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开9995端口。然后,被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_up"的组合,如(78456_up.exe);
特别说明:
和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过windows漏洞攻击目标机器,成功后命令目标机器下载特定文件并运行,来达到感染的目的。
这次的变种又将扫描的线程数改为128个,并且在连接目标机器之前,会先发送一个ICMP数据包测试目标机器是否可达。所以比C变种传播效率更高。但这将导致它在某些版本的WinNT/Win2000系统上无法发作。
该病毒只感染Windows XP/2003系统及部分WinNT/Win2000系统。某些WinNT/Win2000系统会受到攻击,但从源感染主机下载下来的病毒程序在这些系统下无法正常运行,会弹出一个出错窗口,所以这些机器不会再成为新的感染源。
其他细节:
该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)],关于该漏洞的更多信息请访问:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
创建了互斥体Jobaka3和SkynetSasserVersionWithPingFast,后者用于判断是否已运行。
病毒启动后会调用系统API来限制系统重启或关机,但实际上不一定能达到这个目的。
系统修改:
. 将自身复制到%SystemRoot%\skynetave.exe
. 在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"skynetave.exe" = %SystemRoot%\skynetave.exe
. 拷贝其本身至系统:%System%\<4或5位随机数字_up.exe
解决方案:
• 请使用金山毒霸2004年05月04日的病毒库可完全处理该病毒;
•使用针对该病毒的专杀工具;
•建议使用“震荡波”专用防火墙预防该病毒, 升级微软补丁程序;
• 手工解决方案
首先,若系统为WinMe,则请先关闭系统还原功能;
(毒霸论坛:反病毒可能需要用到的方法及操作 如何禁用Win Me/XP的“系统还原”功能)
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务
管理器中,单击“进程”标签,在例表栏内找到病毒进程“skynetave.exe”,单击“结束进程
按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到文件
"skynetave.exe",将它删除;然后进入系统目录(Winnt\system32或windows\system32),找到文件"*_up.exe", 将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边的面板中, 找到并删除如下项目:
"skynetave.exe" = %SystemRoot%\skynetave.exe
关闭注册表编辑器.
