词条 | Worm.Sasser.f |
释义 | 病毒别名:W32.Sasser.f.Worm[Symantec] 处理时间:2004-05-11 威胁级别:★★★ 中文名称:震荡波变种f 病毒类型:蠕虫 影响系统:Windows 2000, Windows XP 病毒行为: 编写工具: Microsoft Visual C++ 6.0 传染条件: 该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)],关于该漏洞的更多信息请访问: http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx 发作条件: 系统修改: A、将自身复制到%SystemRoot% apatch.exe (通常为C:WinNT或C:Windows) B、在注册表主键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下添加如下键值: "napatch.exe" = %SystemRoot% apatch.exe B、拷贝其本身至系统目录: %System%<5位随机数字>_up.exe C、在C盘根目录创建以下文件: C:win2.log(该文件用以记录本地主机的IP地址) 发作现象: A、使用AbortSystemShutdown API来防止系统重启或关机。 B、它开启TCP端口5554来建立一个FTP服务器,用来当作感染其他机器的服务器。 C、如果连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开9996端口。然后,被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_up"的组合,如(78456_up.exe). D、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启。 以下是LSASS.EXE崩溃时可能回弹出的窗口:,; 特别说明: 和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。 文件名为:napatch.exe |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。