§ 概要

病毒别名：W32.Sasser.f.Worm【Symantec】

处理时间：2004-05-11

威胁级别：★★★

中文名称：震荡波变种f

病毒类型：蠕虫

影响系统：Windows 2000, Windows XP

病毒行为:

编写工具:

Microsoft Visual C++ 6.0

传染条件:

该自运行的蠕虫通过使用Windows的一个漏洞来传播【MS04-011 vulnerability (CAN-2003-0907)】，关于该漏洞的更多信息请访问：

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

发作条件:

系统修改:

A、将自身复制到%SystemRoot%

apatch.exe (通常为C:WinNT或C:Windows)

B、在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值:

"napatch.exe" = %SystemRoot%

apatch.exe

B、拷贝其本身至系统目录：

%System%<5位随机数字>_up.exe

C、在C盘根目录创建以下文件：

C:win2.log(该文件用以记录本地主机的IP地址)

发作现象:

A、使用AbortSystemShutdown API来防止系统重启或关机。

B、它开启TCP端口5554来建立一个FTP服务器，用来当作感染其他机器的服务器。

C、如果连接成功，则被感染计算机向被连接机器发动溢出攻击，溢出成功则会在被连接机器上打开一个shell，并打开9996端口。然后，被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本，名称一般为4到5个数字加上"_up"的组合，如(78456_up.exe).

D、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致LSASS.EXE的崩溃，当LSASS.EXE崩溃时系统默认会重启。

以下是LSASS.EXE崩溃时可能回弹出的窗口：,；

特别说明:

和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。

文件名为：napatch.exe

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 出口座位
• 出口托收
• 出口纺织品配额证
• 出口肠衣加工企业注册卫生规范
• 出口补贴
• 出口进入模式
• 出口退税帐户托管
• 出口退税机制改革
• 出口配额
• 出号
• 出后
• 出君
• 出哨
• 出售出入境证件罪
• 出器
• 出国人员婚姻登记管理办法
• 出圃苗
• 出场
• 出场诗
• 出坞
• 出塞词
• 出境
• 出境地
• 出声散
• 出壳