病毒名称(中文):
震荡波
病毒别名:
W32.Sasser.e.Worm[Symantec]
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
15872
影响系统:
Win2000WinXP
病毒行为:
编写工具:
MicrosoftVisualC++6.0
传染条件:
该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011vulnerability(CAN-2003-0907)],关于该漏洞的更多信息请访问:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
发作条件:
系统修改:
A、将自身复制到%SystemRoot%lsasss.exe(通常为C:WinNT或C:Windows)
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"lsasss.exe"=%SystemRoot%lsasss.exe
C、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下删除以下键值:
ssgrate.exe
drvsys.exe
Drvddll_exe
此三个键值分别为Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三个病毒创建。
F、拷贝其本身至系统目录:%System%<4或5位随机数字>_upload.exe(通常为WinNTSystem32或WindowsSystem32)
G、在C盘根目录下建立文件ftplog.txt,记录最近试图攻击的IP及攻击成功的主机的数目
发作现象:
A、它开启TCP端口1023来建立一个FTP服务器,用来当作感染其他机器的服务器。
B、开启128线程扫描随机IP,跳过如下保留IP:
127.0.0.1
10.x.x.x
172.x.x-172.31.x.x(保留IP)
192.168.x.x
169.254.x.x
在确定目标可达后会试图连接目标的的TCP445端口.
C、假如连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开1022端口。然后,被攻击的计算机将会自动连接被感染计算机的1023端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_upload"的组合,如(78456_upload.exe).
D、病毒启动后会每隔一秒调用系统API——AbortSystemShutdown来限制系统重启或关机,在两个小时后显示下面的信息:
1.YourcomputerisaffectedbytheMS04-011vulnerability
2.Itcanbethatdangerouscomputervirusessimilar
theBlasterworminfectyourcomputer
3.PleaseupdateyourcomputerwiththeMS04-011LSASSpatch
fromthewww.microsoft.comwebsite
4.ThisisanmessagefromtheSkyNetTeamfor
maliciousactivityprevention
非凡说明:
此病毒利用微软漏洞进行攻击,会清除其它木马的键值,从病毒信息来看,SkyNetTeam已经有此病毒代码。
