病毒专区

病毒警告

病毒软件升级

解决方案

 

客户反馈

在线定单

震荡波蠕虫病毒

W32.Sasser.B.Worm 是一个会尝试探测 MS04-011 漏洞的蠕虫 (如 Microsoft 安全公告 MS04-011文件中介绍)。 它会藉由扫描随机选取的 IP 地址,进而散布至未防护的系统上。

注意:

  • 版本 30/04/04 rev 70 (20040430.070) 的快速发布定义可以侦测到此威胁。
  • 它具有一个 MD5 散列值 0xA73C16CCD0B9C4F20BC7842EDD90FC20。
  • W32.Sasser.Worm 感染的杀毒工具。

W32.Sasser.B.Worm 可在 Windows 95/98/Me 的计算机上执行 (但无法加以感染)。虽然这些操作系统不会受到感染,但它们仍会被用来连接至未防护的系统并加以感染。在这种情况下,该蠕虫将浪费大量资源,因而使程序无法正确执行,包括我们的杀毒工具。(在 Windows 95/98/Me 的计算机漫上,杀毒工具应该在「安全模式」下执行。)
也称为: W32/Sasser.worm [McAfee], WORM_SASSER [Trend], Worm.Win32.Sasser.a [Kaspersky], W32/Sasser-A [Sophos]
类型: Worm
感染长度: 15,872 bytes
受影响的系统: Windows 2000, Windows XP
未受影响的系统: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003

威胁评估

广度:

  • 感染数量: 50 - 999
  • 站点数量: 大于 10
  • 地理分布: 高度
  • 威胁遏制: 容易
  • 消除威胁能力: 一般

威胁度量
高度 低度 中度

广度:
高度

损坏程度:
低度

分发:
中度

损坏程度

  • 有效载荷触发器: n/a
  • 有效载荷: n/a
    • 大量电子邮件发送: n/a
    • 删除文件: n/a
    • 修改文件: n/a
    • 降低性能: 导致效能明显衰退。
    • 造成系统不稳定: n/a
    • 发布保密信息: n/a
    • 危及安全设置: n/a

分发

  • 电子邮件主题: n/a
  • 附件名称: n/a
  • 附件大小: n/a
  • 附件的时戳: n/a
  • 端口: TCP 445, 5554, 9996
  • 共享驱动器: n/a
  • 感染目标: 未安装修补程序的系统易受 LSASS 探测 MS04-011的威胁。

技术详细说明

W32.Sasser.Worm 运行时会执行下列操作:

  1. 尝试创建一个名为Jobaka3l 的互斥体并在尝试失败时退出。这样可确保任何时候计算机上都只有一个蠕虫在执行。
  2. 将自己复制为 %Windir%\avserve.exe。

    注意: %Windir% 是一个变数。该蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。


  3. 增下列值:

    "avserve.exe"="%Windir%\avserve.exe"

    加入注册表键:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    因此,当您启动 Windows 时,蠕虫就会执行。
  4. 使用 AbortSystemShutdown API 来妨碍试图关闭或重新启动计算机的动作。
  5. 在 TCP 埠 5554 上启动 FTP 服务器。该服务器是用来将蠕虫传播至其它主机上。
  6. 重复于被控端 IP 地址,寻找不含以下列举的其它地址:
    • 127.0.0.1
    • 10.x.x.x
    • 172.16.x.x - 172.31.x.x (inclusive)
    • 192.168.x.x
    • 169.254.x.x

  7. 由蠕虫产生之 IP 地址,其散布方式如下:
    • 52% 完全是随机的
    • 23% 八位字节的最后3个数字为随机数目
    • 25% 八位字节的最后2个数字为随机数目

      注意:

    • 八位字节是 IP 地址的8个位。例如:如果 A.B.C.D. 是一个 IP 地址,那 A 就是第1个八位字节,B 就是第2个,C 就是第3个,D 就是第4个。
    • 因为此蠕虫会建立随机 IP 地址,任何 IP 地址范围都有可能被感染。
    • 蠕虫会启动 128 个执行绪以扫描随机选取的 IP 地址。这样将会占用大量 CPU 时间,因而导致受感染的计算机几乎无法使用。


  8. 试图通过 TCP 埠 445 连接至随机产生的 IP 地址,以检测远程计算机是否联机中。
  9. 如果成功与计算机建立联机,该蠕虫便会发送 shellcode 至该计算机上,使其在 TCP 埠 9996 上执行远程的 Shell。
  10. 然后,蠕虫会使用该 Shell 使计算机通过端口5554 连接至 FTP 服务器并撷取蠕虫的副本。这个副本的名称包含 4 或 5 位数,然后接着 _up.exe (例如 74354_up.exe)。
  11. 在蠕虫尝试探测 LSASS 漏洞后,会导致 Lsass.exe 程序当机。Windows 将会在显示警讯后关机一分钟。

建议

主张所有用户和管理员都坚持以下良好的基本安全习惯。

消除威胁说明

使用 http://sc.kill.com.cn/maindoc/virus/download/clnsasser.zip杀毒

如需关于这些步骤的详细信息,请阅读下列指示。

  1. 结束恶意程序

    注意 : Windows NT/2000/XP 的用户必须先结束恶意程序。

    1. 单击 “Ctrl+Alt+Delete” 。
    2. 单击"任务管理器" 。
    3. 单击 “进程” 选项卡。
    4. 双击 “映像名称” 列标题,按字母顺序对进行排序。
    5. 滚动列表并查找以下程序:
      • avserve.exe
      • 任何程序的名称包含 4 或 5 位数,后接着 _up.exe (例如 74354_up.exe)。
    6. 如果您找到任何类似的程序,请单击它并单击"结束进程"。
    7. 结束"任务管理器"。

  2. 禁用系统还原(Windows XP)
    如果您运行的是 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

    Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

    此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。

    注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。


  3. 还原对注册表所做的更改

    注意:对系统注册表进行任何修改之前,强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。

    1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
    2. 键入 regedit 然后单击“确定”。(将打开注册表编辑器。)
    3. 导航至以下键:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. 在右窗格中,删除值:

      "avserve.exe"="%Windir%\avserve.exe"
    5. 退出注册表编辑器。

      Win32.Sasser.B

    Win32.Sasser.B是Sasser.A蠕虫的变种病毒,它通过Windows 2000, XP and 2003 server的LSASS服务的漏洞传播,病毒文件长度为15,872字节。该蠕虫与Win32.Sasser.A的传播方式、途径一样,只是将系统驻留的文件改为avserve2.exe。

    病毒感染:

      病毒文件执行后,Sasser.B将自身复制到 %Windows%\avserve2.exe,之后修改注册表,以便系统启动时自动执行:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    avserve.exe = "%Windows%\avserve2.exe"

    传播方式:

      Sasser.B会使用TCP 445端口随机扫描ip地址。如果连接成功,将试图利用"Microsoft Windows LSASS buffer overflow vulnerability" 进行传播。关于此漏洞的详细内容请参见:

    http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=27886

    微软提供的此漏洞补丁地址:
    http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

      病毒利用这个漏洞在远程机器上建立一个ftp脚本(cmd.ftp)在系统目录中。病毒使用ftp服务在被感染的机器上,利用端口5554,之后通过ftp.exe执行病毒生成的脚本将病毒文件传输过去并执行。传输的病毒文件将放置在系统目录中,文件名是"随机数字_up.exe".

    例如:
    C:\WINDOWS\system32\12756_up.exe
    C:\WINDOWS\system32\10831_up.exe

版权所有 © 2003-2005创智信息技术有限公司