名稱
I-Worm/Sasser (震盪波)病毒類型:蠕蟲病毒
蠕蟲長度:15872位元組
危害等級:***
感染系統:Windows 2000/2003/XP
內容
該病毒利用的
是微軟的漏洞:MS04-011進行傳播,下載地址:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
傳播過程及特徵:
(1)該蠕蟲不象往常的蠕蟲那樣通過郵件傳播,而只是通過系統漏洞傳播。
(2)該蠕蟲用來傳播的檔案名稱稱是:avserve.exe (大小是15872位元組)。
(3)該蠕蟲不通過郵件等傳統蠕蟲利用的途徑傳播,它的傳播不需要人為的干預,該蠕蟲能自動在網路上搜尋含有漏洞的系統,並引導這些有漏洞的系統下載病毒檔案並執行。
(4)從TCP的1068連線埠開始搜尋可能的IP位址並試圖傳播。
(5)在TCP連線埠5554,建立FTP檔案伺服器,該蠕蟲能自動創建FTP腳本檔案,並運行該腳本.該腳本能自動引導被感染的機器下載執行蠕蟲程式.所有這些操作的進行都是通過TCP連線埠5554進行的。
特性
檔案特徵:c:\win.log : IP位址列表
%Windir%\avserve.exe :蠕蟲病毒檔案本身
%Windir%\system32\11113_up.exe :可能生成的蠕蟲檔案本身
%Windir%\system32\16843_up.exe :可能生成的蠕蟲檔案本身
註冊表特徵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加鍵值:"avserve.exe" = %Windir%\avserve.exe 該特徵是為了保證該蠕蟲能隨系統啟動自動運行。
系統副作用:
感染的系統可能重新啟動機器;原因是該蠕蟲可能導致系統檔案LSASS.EXE的崩潰。
這是計算機用戶除了通過檔案查看是否感染外的最直接的表現形式.從某種意義上說:該病毒有的類似I-Worm/Blaster衝擊波病毒的破壞表現形式。
江民KV系列用戶處理對策:
(1)安裝系統補丁程式:www.microsoft.com/technet/security/bulletin/MS04-011.mspx(2)利用江民黑客防火牆關閉TCP連線埠5554。
(3)利用江民黑客防火牆關閉TCP連線埠1068。
(4)升級江民防毒軟體KV2004到最新病毒庫,來全盤搜尋整個系統。
(5)刪除病毒增加的註冊表鍵值。
(6)開啟KV2004的各項監視開關來預防病毒的入侵。