概述
病毒別名:處理時間:2004-05-03
威脅級別:★★★★
中文名稱:震盪波變種D
病毒類型:蠕蟲
影響系統:WinNT/Win2000/WinXP/Win2003
病毒行為:
這是一個惡性網路蠕蟲,利用WINDOWS平台的 Lsass 漏洞進行廣泛傳播,開啟上百個執行緒不停攻擊其它網上其它系統,嚴重堵塞網路,病毒的攻擊行為可讓系統不停的倒計時重啟。和最近出現的大部分蠕蟲病毒不同,該病毒並不通過郵件傳播,而是通過windows漏洞攻擊目標機器,成功後命令目標機器下載特定檔案並運行,來達到感染的目的。
1、將自身複製到%SystemRoot%\skynetave.exe
2、在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"skynetave.exe" = %SystemRoot%\skynetave.exe
3、拷貝其本身至系統:%System%\<4或5位隨機數字>_up.exe
4、它開啟TCP連線埠5554來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
5、開啟128執行緒掃描隨機IP,但是將跳過以下的保留IP:
127.0.0.1
10.*.*.*
172.16.*.* - 172.31.*.*
192.168.*.*
169.254.*.*
在確定目標可達後會試圖連線目標的的TCP 445連線埠.如果連線成功,則開始對該目標進行攻擊,並把最近攻擊的一個目標的ip地址和攻擊成功的目標數目保存到C:\win2.log。
6、這次的變種又將掃描的執行緒數改為128個,並且在連線目標機器之前,會先傳送一個ICMP數據包測試目標機器是否可達。所以比C變種傳播效率更高。但這將導致它在某些版本的WinNT/Win2000系統上無法發作。
7、如果連線成功,則被感染計算機向被連線機器發動溢出攻擊,溢出成功則會在被連線機器上打開一個shell,並打開9995連線埠。然後,被攻擊的計算機將會自動連線被感染計算機的5554連線埠並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_up"的組合,如(78456_up.exe)。
8、該病毒只感染Windows XP/2003系統及部分WinNT/Win2000系統。某些WinNT/Win2000系統會受到攻擊,但從源感染主機下載下來的病毒程式在這些系統下無法正常運行,會彈出一個出錯視窗,所以這些機器不會再成為新的感染源。
9、該自運行的蠕蟲通過使用Windows的一個漏洞來傳播【MS04-011 vulnerability (CAN-2003-0907)】,關於該漏洞的更多信息請訪問:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
