词条 | Worm.Sasser.e |
释义 | 基本信息病毒别名: 处理时间:2004-05-09 威胁级别:★★★★ 中文名称:震荡波变种E 病毒类型:蠕虫 影响系统:WinNT/Win2000/WinXP/Win2003 病毒行为这是一个恶性网络蠕虫,利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,严重堵塞网络。 和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。 1、将自身复制到%SystemRoot%\\lsasss.exe (通常为C:\\WinNT\\或C:\\Windows) 2、在注册表主键: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下添加如下键值: "lsasss.exe" = %SystemRoot%\\lsasss.exe 3、在注册表主键: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下删除以下键值: ssgrate.exe drvsys.exe Drvddll_exe 此三个键值分别为Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三个病毒创建。 4、拷贝其本身至系统目录:%System%\\<4或5位随机数字>_upload.exe (通常为WinNT\\System32或Windows\\System32) 5、在C盘根目录下建立文件ftplog.txt,记录最近试图攻击的IP及攻击成功的主机的数目 6、它开启TCP端口1023来建立一个FTP服务器,用来当作感染其他机器的服务器。 7、开启128线程扫描随机IP,在确定目标可达后会试图连接目标的的TCP 445端口。如果连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开1022端口。然后,被攻击的计算机将会自动连接被感染计算机的1023端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_upload"的组合,如(78456_upload.exe). 8、病毒攻击时会引启系统的倒计时重启或出错,显示如下图 9、病毒启动后会每隔一秒调用系统API——AbortSystemShutdown 来限制系统重启或关机,在两个小时后显示下面的信息 10、该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)],关于该漏洞的更多信息请访问: http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。