概要
病毒別名:W32.Sasser.D.Worm 【Symantec】
處理時間:2004-05-04
威脅級別:★
中文名稱:震盪波
病毒類型:蠕蟲
影響系統:Win2000/WinXP
病毒行為:
編寫工具:
Microsoft Visual C++ 6.0
傳染條件:
該自運行的蠕蟲通過使用Windows的一個漏洞來傳播【MS04-011 vulnerability (CAN-2003-0907)】,關於該漏洞的更多信息請訪問:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
發作條件:
系統修改:
A、將自身複製到%SystemRoot%skynetave.exe (通常為C:WinNT或C:Windows)
B、在註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"skynetave.exe" = %SystemRoot%skynetave.exe
C、拷貝其本身至系統目錄:%System%<4或5位隨機數字>_up.exe (通常為WinNTSystem32或WindowsSystem32)
D、在C糟根目錄下建立檔案win2.log,記錄最近試圖攻擊的IP及攻擊成功的主機的數目
發作現象:
A、它開啟TCP連線埠5554來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
B、開啟128執行緒掃描隨機IP,跳過如下保留IP:
127.0.0.1
10.x.x.x
172.x.x - 172.31.x.x (保留IP)
192.168.x.x
169.254.x.x
在確定目標可達後會試圖連線目標的的TCP 445連線埠.
C、如果連線成功,則被感染計算機向被連線機器發動溢出攻擊,溢出成功則會在被連線機器上打開一個shell,並打開9995連線埠。然後,被攻擊的計算機將會自動連線被感染計算機的5554連線埠並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_up"的組合,如(78456_up.exe).
特別說明:
和最近出現的大部分蠕蟲病毒不同,該病毒並不通過郵件傳播,而是windows漏洞攻擊目標機器,通過命令易受感染的機器下載特定檔案並運行,來達到感染的目的。
這次的變種又將掃描的執行緒數改為128個,並且在連線目標機器之前,會先傳送一個ICMP數據包測試目標機器是否可達。所以比C變種傳播效率更高。但這將導致它在某些版本的win2000系統上無法運行。
該病毒只感染Windows XP系統及某些Win2000系統,某些Win2000系統會受到攻擊,但從源感染主機下載下來的病毒程式在這些系統下無法正常運行,會彈出一個出錯視窗(附屬檔案20040504_Worm.Win32.Sasser.D.jpg),所以這些機器不會再成為新的感染源。
