病毒名称(中文):
震荡波
病毒别名:
W32.Sasser.D.Worm[Symantec]
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
16384
影响系统:
Win2000WinXP
病毒行为:
编写工具:
MicrosoftVisualC++6.0
传染条件:
该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011vulnerability(CAN-2003-0907)],关于该漏洞的更多信息请访问:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
发作条件:
系统修改:
A、将自身复制到%SystemRoot%skynetave.exe(通常为C:WinNT或C:Windows)
B、在注册表主键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下键值:
"skynetave.exe"=%SystemRoot%skynetave.exe
C、拷贝其本身至系统目录:%System%<4或5位随机数字>_up.exe(通常为WinNTSystem32或WindowsSystem32)
D、在C盘根目录下建立文件win2.log,记录最近试图攻击的IP及攻击成功的主机的数目
发作现象:
A、它开启TCP端口5554来建立一个FTP服务器,用来当作感染其他机器的服务器。
B、开启128线程扫描随机IP,跳过如下保留IP:
127.0.0.1
10.x.x.x
172.x.x-172.31.x.x(保留IP)
192.168.x.x
169.254.x.x
在确定目标可达后会试图连接目标的的TCP445端口.
C、假如连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开9995端口。然后,被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_up"的组合,如(78456_up.exe).
非凡说明:
和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是windows漏洞攻击目标机器,通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
这次的变种又将扫描的线程数改为128个,并且在连接目标机器之前,会先发送一个ICMP数据包测试目标机器是否可达。所以比C变种传播效率更高。但这将导致它在某些版本的win2000系统上无法运行。
该病毒只感染WindowsXP系统及某些Win2000系统,某些Win2000系统会受到攻击,但从源感染主机下载下来的病毒程序在这些系统下无法正常运行,会弹出一个出错窗口(附件20040504_Worm.Win32.Sasser.D.jpg),所以这些机器不会再成为新的感染源。
