请输入您要查询的百科知识:

 

词条 Worm.Sasser.e
释义

基本信息

病毒别名:

处理时间:2004-05-09

威胁级别:★★★★

中文名称:震荡波变种E

病毒类型:蠕虫

影响系统:WinNT/Win2000/WinXP/Win2003

病毒行为

这是一个恶性网络蠕虫,利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,严重堵塞网络。

和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。

1、将自身复制到%SystemRoot%\\lsasss.exe (通常为C:\\WinNT\\或C:\\Windows)

2、在注册表主键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下添加如下键值:

"lsasss.exe" = %SystemRoot%\\lsasss.exe

3、在注册表主键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下删除以下键值:

ssgrate.exe

drvsys.exe

Drvddll_exe

此三个键值分别为Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三个病毒创建。

4、拷贝其本身至系统目录:%System%\\<4或5位随机数字>_upload.exe (通常为WinNT\\System32或Windows\\System32)

5、在C盘根目录下建立文件ftplog.txt,记录最近试图攻击的IP及攻击成功的主机的数目

6、它开启TCP端口1023来建立一个FTP服务器,用来当作感染其他机器的服务器。

7、开启128线程扫描随机IP,在确定目标可达后会试图连接目标的的TCP 445端口。如果连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开1022端口。然后,被攻击的计算机将会自动连接被感染计算机的1023端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_upload"的组合,如(78456_upload.exe).

8、病毒攻击时会引启系统的倒计时重启或出错,显示如下图

9、病毒启动后会每隔一秒调用系统API——AbortSystemShutdown 来限制系统重启或关机,在两个小时后显示下面的信息

10、该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)],关于该漏洞的更多信息请访问:

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 21:04:41