名稱
I-Worm/Sasser.e病毒類型:網路蠕蟲
病毒大小:15872位元組危害等級:**
影響平台:Win2000/XP/2003
I-Worm/Sasser.e通過微軟的最新LSASS漏洞進行傳播。
特徵
具體技術特徵如下:1).感染系統為:Windows 2000、Windows Server 2003、Windows XP2).利用微軟的漏洞:MS04-011
補丁下載地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
3).病毒運行後,將自身複製為%WinDir%\lsasss.exe
4).在註冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
"lsasss.exe" = %WinDir%\lsasss.exe
這樣,病毒在Windows啟動時就得以運行。
5).刪除I-Worm/BBEagle病毒某些變種創建的註冊表啟動項鍵值。
6).病毒運行2個小時後,會顯示下列訊息:
"1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website
4. This is an message from the SkyNet Team for malicious activity prevention"
內容
大意是:"1. 你的計算機存在MS04-011漏洞
2. 類似衝擊波那樣危險的計算機病毒會感染你的系統
3. 請從微軟網站下載MS04-011 LSASS補丁程式,更新Windows
4. 本訊息來自天網有害程式防治小組"
7).在TCP連線埠1023建立FTP服務,用以將自身傳播給其他計算機。
8).隨機在網路上搜尋機器,向遠程計算機的445連線埠傳送包含後門程式的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行後門程式,打開後門連線埠1022。病毒利用後門連線埠1022,使得遠程計算機連線病毒打開的FTP連線埠1023,下載病毒體並運行,從而遭到感染。
9).病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓,Windows系統將會有1分鐘倒計時關閉的提示。
10).病毒在C:\ftplog.txt中記錄其感染的計算機數目和IP位址。
江民KV系列用戶處理對策:
(1)安裝系統補丁程式:www.microsoft.com/technet/security/bulletin/MS04-011.mspx,或下載江民公司的記憶體補丁程式。
(2)利用江民黑客防火牆關閉TCP連線埠445,1022,1023;
(3)升級江民防毒軟體KV2004到最新病毒庫,來全盤搜尋整個系統.
(4)刪除病毒增加的註冊表鍵值.
(5)開啟KV2004的各項監視開關來預防病毒的入侵.
