病毒名称(中文):
震荡波变种E
病毒别名:
威胁级别:
★★★★☆
病毒类型:
蠕虫病毒
病毒长度:
15872
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
这是一个恶性网络蠕虫,利用WINDOWS平台的Lsass漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,严重堵塞网络。
和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
1、将自身复制到%SystemRoot%\lsasss.exe(通常为C:\WinNT\或C:\Windows)
2、在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"lsasss.exe"=%SystemRoot%\lsasss.exe
3、在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下删除以下键值:
ssgrate.exe
drvsys.exe
Drvddll_exe
此三个键值分别为Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三个病毒创建。
4、拷贝其本身至系统目录:%System%\<4或5位随机数字>_upload.exe(通常为WinNT\System32或Windows\System32)
5、在C盘根目录下建立文件ftplog.txt,记录最近试图攻击的IP及攻击成功的主机的数目
6、它开启TCP端口1023来建立一个FTP服务器,用来当作感染其他机器的服务器。
7、开启128线程扫描随机IP,在确定目标可达后会试图连接目标的的TCP445端口。假如连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开1022端口。然后,被攻击的计算机将会自动连接被感染计算机的1023端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_upload"的组合,如(78456_upload.exe).
8、病毒攻击时会引启系统的倒计时重启或出错,显示如下图
9、病毒启动后会每隔一秒调用系统API——AbortSystemShutdown来限制系统重启或关机,在两个小时后显示下面的信息
10、该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011vulnerability(CAN-2003-0907)],关于该漏洞的更多信息请访问:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx