I-Worm/Sasser.e

病毒类型：网络蠕虫

病毒大小：15872字节

危害等级：**

影响平台：Win2000/XP/2003

I-Worm/Sasser.e通过微软的最新LSASS漏洞进行传播。

具体技术特征如下：

1).感染系统为：Windows 2000、Windows Server 2003、Windows XP

2).利用微软的漏洞：MS04-011

补丁下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx

3).病毒运行后，将自身复制为%WinDir%\\lsasss.exe

4).在注册表启动项HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run下创建：

"lsasss.exe" = %WinDir%\\lsasss.exe

这样，病毒在Windows启动时就得以运行。

5).删除I-Worm/BBEagle病毒某些变种创建的注册表启动项键值。

6).病毒运行2个小时后，会显示下列消息：

" 1. Your computer is affected by the MS04-011 vulnerability

2. It can be that dangerous computer viruses similar the Blaster worm infect your computer

3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website

4. This is an message from the SkyNet Team for malicious activity prevention"

大意是：

" 1. 你的计算机存在MS04-011漏洞

2. 类似冲击波那样危险的计算机病毒会感染你的系统

3. 请从微软网站下载MS04-011 LSASS补丁程序，更新Windows

4. 本消息来自天网有害程序防治小组"

7).在TCP端口1023建立FTP服务，用以将自身传播给其他计算机。

8).随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门端口1022。病毒利用后门端口1022，使得远程计算机连接病毒打开的FTP端口1023，下载病毒体并运行，从而遭到感染。

9).病毒还会利用漏洞攻击LSASS.EXE进程，被攻击计算机的LSASS.EXE进程会瘫痪，Windows系统将会有1分钟倒计时关闭的提示。

10).病毒在C:\\ftplog.txt中记录其感染的计算机数目和IP地址。

江民KV系列用户处理对策:

(1)安装系统补丁程序:www.microsoft.com/technet/security/bulletin/MS04-011.mspx，或下载江民公司的内存补丁程序。

(2)利用江民黑客防火墙关闭TCP端口445，1022，1023;

(3)升级江民杀毒软件KV2004到最新病毒库,来全盘搜索整个系统.

(4)删除病毒增加的注册表键值.

(5)开启KV2004的各项监视开关来预防病毒的入侵.