§ 概要

病毒别名：W32.Sasser.e.Worm 【Symantec】

处理时间：2004-05-09

威胁级别：★

中文名称：震荡波

病毒类型：蠕虫

影响系统：Win2000/WinXP

病毒行为:

编写工具:

Microsoft Visual C++ 6.0

传染条件:

该自运行的蠕虫通过使用Windows的一个漏洞来传播【MS04-011 vulnerability (CAN-2003-0907)】，关于该漏洞的更多信息请访问：

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

发作条件:

系统修改:

A、将自身复制到%SystemRoot%lsasss.exe (通常为C:WinNT或C:Windows)

B、在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值:

"lsasss.exe" = %SystemRoot%lsasss.exe

C、在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下删除以下键值：

ssgrate.exe

drvsys.exe

Drvddll_exe

此三个键值分别为Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三个病毒创建。

F、拷贝其本身至系统目录：%System%<4或5位随机数字>_upload.exe (通常为WinNTSystem32或WindowsSystem32)

G、在C盘根目录下建立文件ftplog.txt，记录最近试图攻击的IP及攻击成功的主机的数目

发作现象:

A、它开启TCP端口1023来建立一个FTP服务器，用来当作感染其他机器的服务器。

B、开启128线程扫描随机IP，跳过如下保留IP：

127.0.0.1

10.x.x.x

172.x.x - 172.31.x.x (保留IP)

192.168.x.x

169.254.x.x

在确定目标可达后会试图连接目标的的TCP 445端口.

C、如果连接成功，则被感染计算机向被连接机器发动溢出攻击，溢出成功则会在被连接机器上打开一个shell，并打开1022端口。然后，被攻击的计算机将会自动连接被感染计算机的1023端口并通过FTP下载蠕虫的副本，名称一般为4到5个数字加上"_upload"的组合，如(78456_upload.exe).

D、病毒启动后会每隔一秒调用系统API——AbortSystemShutdown 来限制系统重启或关机，在两个小时后显示下面的信息：

1. Your computer is affected by the MS04-011 vulnerability

2. It can be that dangerous computer viruses similar

the Blaster worm infect your computer

3. Please update your computer with the MS04-011 LSASS patch

from the www.microsoft.com website

4. This is an message from the SkyNet Team for

malicious activity prevention

特别说明:

此病毒利用微软漏洞进行攻击，会清除其它木马的键值，从病毒信息来看， SkyNet Team已经有此病毒代码。

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 秋山时乃
• 秋山晚翠图
• 秋山贵彦
• 秋嶂
• 秋川
• 秋帅80－2白菜
• 秋年
• 秋影
• 秋微
• 秋思赠远二首
• 秋怨
• 秋战
• 秋捷
• 秋搜
• 秋播大蒜栽培
• 秋操
• 秋收东藏
• 秋收起义广场
• 秋收起义纪念馆
• 秋放
• 秋料
• 秋方
• 秋日怀弟
• 秋日杂感
• 秋日润肺粥