请输入您要查询的百科知识:

 

词条 Worm.Sasser.d
释义

基本介绍

病毒别名:

Worm.Sasser.d

处理时间:

2004-05-03

威胁级别:

中文名称:

震荡波变种:D

病毒类型:

蠕虫

影响系统:

WinNT/Win2000/WinXP/Win2003

病毒行为

这是一个恶性网络蠕虫,利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,严重堵塞网络,病毒的攻击行为可让系统不停的倒计时重启。

和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过windows漏洞攻击目标机器,成功后命令目标机器下载特定文件并运行,来达到感染的目的。

防止方法

1、将自身复制到%SystemRoot%\\skynetave.exe

2、在注册表主键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下添加如下键值:

"skynetave.exe" = %SystemRoot%\\skynetave.exe

3、拷贝其本身至系统:%System%\\<4或5位随机数字>_up.exe

4、它开启TCP端口5554来建立一个FTP服务器,用来当作感染其他机器的服务器。

5、开启128线程扫描随机IP,但是将跳过以下的保留IP:

127.0.0.1

10.*.*.*

172.16.*.* - 172.31.*.*

192.168.*.*

169.254.*.*

在确定目标可达后会试图连接目标的的TCP 445端口.如果连接成功,则开始对该目标进行攻击,并把最近攻击的一个目标的ip地址和攻击成功的目标数目保存到C:\\win2.log。

6、这次的变种又将扫描的线程数改为128个,并且在连接目标机器之前,会先发送一个ICMP数据包测试目标机器是否可达。所以比C变种传播效率更高。但这将导致它在某些版本的WinNT/Win2000系统上无法发作。

7、如果连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开9995端口。然后,被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_up"的组合,如(78456_up.exe)。

8、该病毒只感染Windows XP/2003系统及部分WinNT/Win2000系统。某些WinNT/Win2000系统会受到攻击,但从源感染主机下载下来的病毒程序在这些系统下无法正常运行,会弹出一个出错窗口,所以这些机器不会再成为新的感染源。

9、该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)],关于该漏洞的更多信息请访问:

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 20:58:35