Worm.Sasser.e

病毒名称:

Worm.Sasser.e

类别： 蠕虫

病毒资料：

病毒别名:

震荡波

行为类型: WINDOWS下的蠕虫程序

Worm.Sasser的变种。开辟128个线程扫描网络。此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞（MS04-011）进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。

一、这是一个类似冲击波的病毒，利用微软操作系统的缓冲区溢出漏洞（MS04-011）远程执行代码。

受感染的操作系统有：

Microsoft Windows NT Workstation 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6

Microsoft windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1

Microsoft Windows XP 64-Bit Edition Version 2003

Microsoft Windows Server 2003

Microsoft Windows Server 2003 64-Bit Edition

二、病毒的破坏行为：

1.首先拷贝自身到windows目录，名为％WINDOWS％\skynetave.exe(16384字节)，然后登记到自启动项。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lsasss.exe = ％WINDOWS％\lsasss.exe

病毒删除键名为:Drvddll_exe，drvsys.exe，ssgrate.exe的注册表键值。

2.开辟线程，在本地开辟后门。监听TCP 1023端口（支持USER、PASS、PORT、RETR和QUIT命令）该线程实现一个FTP服务功能，被攻击成功的系统将利用从当前系统把病毒文件复制过去。达到传播的目的。

3.病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口,如果试探成功，则运行一个新牟《窘潭愿媚勘杲泄鳎迅媚勘甑膇p地址保存到

“c:\ftplog.txt”。

4.利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。

5.溢出代码会主动从原机器下载病毒程序，运行起来，开始新的攻击。

病毒调用系统的函数阻止系统关闭，并在2小时后（病毒认为完成所有的攻击“任务”时）

将显示一个消息框。。信息如下：

1. Your computer is affected by the MS04-011 vulnerability..

2. It can be that dangerous computer viruses similar..

the Blaster worm infect your computer..

3. Please update your computer with the MS04-011 LSASS patch..

from the www.microsoft.com website..

4. This is an message from the SkyNet Team for..

malicious activity prevention

三、危害：

病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞，该病毒在网络上传播迅速，造成网络瘫痪。

病毒的清除法：

请用户立即给爱机打最新的补丁

http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

手动清除：

（1）打开注册表编辑器,删除如下键值:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"lsasss.exe" = "%WINDOWS%\lsasss.exe"

（2） 打开任务管理器查看是否存在进程名为: lsasss.exe,终止它

（3）删除%WINDOWS%\lsasss.exe

注：%WINDOWS% 是指系统的windows目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS,

Win2K下默认为:C:\WINNT。

病毒演示：

病毒FAQ：

发现日期：

2004-5-9

• ·Worm.sdbot-hh
• ·IRC-Worm.Alcaul.n.enc
• ·I-Worm.Alcaul.p
• ·I-Worm.Entangle
• ·Worm.Dedler.a
• ·I-Worm.Lyndegg
• ·Worm.Korgo.d.enc
• ·I-Worm.FakeNuker.enc
• ·Worm.Sasser.f
• ·Worm.Cycle.a.enc