病毒名称(中文):
震荡波变种f
病毒别名:
W32.Sasser.f.Worm[Symantec]
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
74752
影响系统:
Win2000WinXP
病毒行为:
编写工具:
MicrosoftVisualC++6.0
传染条件:
该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011vulnerability(CAN-2003-0907)],关于该漏洞的更多信息请访问:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
发作条件:
系统修改:
A、将自身复制到%SystemRoot%
apatch.exe(通常为C:WinNT或C:Windows)
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"napatch.exe"=%SystemRoot%
apatch.exe
B、拷贝其本身至系统目录:
%System%<5位随机数字>_up.exe
C、在C盘根目录创建以下文件:
C:win2.log(该文件用以记录本地主机的IP地址)
发作现象:
A、使用AbortSystemShutdownAPI来防止系统重启或关机。
B、它开启TCP端口5554来建立一个FTP服务器,用来当作感染其他机器的服务器。
C、假如连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开9996端口。然后,被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_up"的组合,如(78456_up.exe).
D、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启。
以下是LSASS.EXE崩溃时可能回弹出的窗口:,;
非凡说明:
和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
文件名为:napatch.exe
