请输入您要查询的百科知识:

 

词条 Worm.Sasser.f
释义

病毒别名:W32.Sasser.f.Worm[Symantec]

处理时间:2004-05-11

威胁级别:★★★

中文名称:震荡波变种f

病毒类型:蠕虫

影响系统:Windows 2000, Windows XP

病毒行为:

编写工具:

Microsoft Visual C++ 6.0

传染条件:

该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)],关于该漏洞的更多信息请访问:

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

发作条件:

系统修改:

A、将自身复制到%SystemRoot%

apatch.exe (通常为C:WinNT或C:Windows)

B、在注册表主键:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值:

"napatch.exe" = %SystemRoot%

apatch.exe

B、拷贝其本身至系统目录:

%System%<5位随机数字>_up.exe

C、在C盘根目录创建以下文件:

C:win2.log(该文件用以记录本地主机的IP地址)

发作现象:

A、使用AbortSystemShutdown API来防止系统重启或关机。

B、它开启TCP端口5554来建立一个FTP服务器,用来当作感染其他机器的服务器。

C、如果连接成功,则被感染计算机向被连接机器发动溢出攻击,溢出成功则会在被连接机器上打开一个shell,并打开9996端口。然后,被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本,名称一般为4到5个数字加上"_up"的组合,如(78456_up.exe).

D、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启。

以下是LSASS.EXE崩溃时可能回弹出的窗口:,;

特别说明:

和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。

文件名为:napatch.exe

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 21:00:51