发现： 2004 年 4 月 30 日

更新： 2007 年 2 月 13 日 12:24:56 PM

别名： W32/Sasser.worm.a [McAfee], WORM_SASSER.A [Trend], Worm.Win32.Sasser.a [Kaspersky, W32/Sasser-A [Sophos], Win32.Sasser.A [Computer Assoc, Sasser [F-Secure], W32/Sasser.A.worm [Panda]

类型: Worm

感染长度： 15,872 bytes

受感染的系统： Windows 2000, Windows XP

CVE 参考： CAN-2003-0533

W32.Sasser.Worm 是一个会尝试探测 MS04-011 漏洞的蠕虫 (如 Microsoft 安全公告 MS04-011文件中介绍)。 它会藉由扫描随机选取的 IP 地址，进而散布至未防护的系统上。

注意：

* 版本 30/04/04 rev 70 (20040430.070) 的快速发布定义可以侦测到此威胁。

* 它具有一个 MD5 散列值 0xA73C16CCD0B9C4F20BC7842EDD90FC20。

* Symantec 安全响应中心已开发出可清除 W32.Sasser.Worm 感染的杀毒工具。

W32.Sasser.Worm 可在 Windows 95/98/Me 的计算机上执行 (但无法加以感染)。虽然这些操作系统不会受到感染，但它们仍会被用来连接至未防护的系统并加以感染。在这种情况下，该蠕虫将浪费大量资源，因而使程序无法正确执行,包括我们的杀毒工具。(在 Windows 95/98/Me 的计算机漫上,杀毒工具应该在「安全模式」下执行。)

防护

* 病毒定义（每周 LiveUpdate™） 2004 年 5 月 1 日

* 病毒定义（智能更新程序） 2004 年 5 月 1 日

威胁评估

广度

* 广度级别： Low

* 感染数量： 50 - 999

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Low

* 降低性能： Causes significant performance degradation.

分发

* 分发级别： Medium

* 端口： TCP 445, 5554, 9996

* 感染目标： Unpatched systems vulnerable to LSASS exploit - MS04-011.

W32.Sasser.Worm 运行时会执行下列操作：

1. 尝试创建一个名为Jobaka3l 的互斥体并在尝试失败时退出。这样可确保任何时候计算机上都只有一个蠕虫在执行。

2. 将自己复制为 %Windir%\\avserve.exe。

注意: %Windir% 是一个变数。该蠕虫会找到 Windows 安装文件夹（默认为 C:\\Windows 或 C:\\Winnt），然后将自身复制到其中。

3. 增下列值：

"avserve.exe"="%Windir%\\avserve.exe"

加入注册表键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

因此,当您启动 Windows 时,蠕虫就会执行。

4. 使用 AbortSystemShutdown API 来妨碍试图关闭或重新启动计算机的动作。

5. 在 TCP 埠 5554 上启动 FTP 服务器。该服务器是用来将蠕虫传播至其它主机上。

6. 重复于被控端 IP 地址,寻找不含以下列举的其它地址：

* 127.0.0.1

* 10.x.x.x

* 172.16.x.x - 172.31.x.x (inclusive)

* 192.168.x.x

* 169.254.x.x

7. 由蠕虫产生之 IP 地址,其散布方式如下：

* 52% 完全是随机的

* 23% 八位字节的最后3个数字为随机数目

* 25% 八位字节的最后2个数字为随机数目

注意:

* 八位字节是 IP 地址的8个位。例如：如果 A.B.C.D. 是一个 IP 地址，那 A 就是第1个八位字节，B 就是第2个，C 就是第3个，D 就是第4个。

* 因为此蠕虫会建立随机 IP 地址，任何 IP 地址范围都有可能被感染。

* 蠕虫会启动 128 个执行绪以扫描随机选取的 IP 地址。这样将会占用大量 CPU 时间，因而导致受感染的计算机几乎无法使用。

8. 试图通过 TCP 埠 445 连接至随机产生的 IP 地址，以检测远程计算机是否联机中。

9. 如果成功与计算机建立联机，该蠕虫便会发送 shellcode 至该计算机上，使其在 TCP 埠 9996 上执行远程的 Shell。

10. 然后，蠕虫会使用该 Shell 使计算机通过端口5554 连接至 FTP 服务器并撷取蠕虫的副本。这个副本的名称包含 4 或 5 位数，然后接着 _up.exe (例如 74354_up.exe)。

11. 在蠕虫尝试探测 LSASS 漏洞后，会导致 Lsass.exe 程序当机。Windows 将会在显示警讯后关机一分钟。

12. 在最近感染和其它受感染的计算机 IP 地址上的 C:\\win.log 创建一个文件。

Symantec Gateway Security 5400 系列以及 Symantec Gateway Security v1.0

* 防病毒组件： Symantec Gateway Security AntiVirus 引擎的更新程序目前已可供下载，能防护 W32.Sasser.Worm 的威胁。建议 Symantec Gateway Security 5000 系列的用户运行 LiveUpdate。

* IDS/IPS 组件：Symantec Gateway Security 5400 系列可侦测针对 Microsoft LSASS 漏洞攻击的攻击特征已包含在 4 月 14 日发行的 SU 8 中。在 SGS v1.0 上侦测针对 Microsoft LSASS 漏洞攻击的攻击特征已经发行。建议 Symantec Gateway Security 5000 系列的用户执行 LiveUpdate。

* 全面的应用程序检查防火墙组件：默认情况下，Symantec 的全面应用程序检查防火墙技术通过阻止 W32.Sasser.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信端口 (TCP/5554、TCP/9996)。建议系统管理员验证安全策略不允许通信端口的入站通信通过。

Symantec Enterprise Firewall 8.0

默认情况下，Symantec 的全面应用程序检查防火墙技术通过阻止 W32.Sasser.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信端口 (TCP/5554、TCP/9996)。建议系统管理员验证安全策略不允许通信端口的入站通信通过。

Symantec Enterprise FIrewall 7.0.x 和 Symantec VelociRaptor 1.5

默认情况下，Symantec 的全面应用程序检查防火墙技术通过阻止 W32.Sasser.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信端口 (TCP/5554、TCP/9996)。建议系统管理员验证安全策略不允许通信端口的入站通信通过。

Symantec Clientless VPN Gateway 4400 系列

Symantec Clientless VPN Gateway v5.0 不会受此威胁的感染。默认情况下,安全网关可以禁止攻击者访问 TCP/445 和受感染系统的后门通信端口 (TCP/5554、TCP/9996)。

Symantec Gateway Security 300 系列

默认情况下，Symantec 的全面应用程序检查防火墙技术通过阻止 W32.Sasser.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信端口 (TCP/5554、TCP/9996)。建议系统管理员验证安全策略不允许TCP/445、TCP/5554、TCP/9996 通信端口的入站通信通过。请使用 SGS 300系列的 AVpe 功能，以确保所有AntiVirus 客户端有最新病毒定义。

Symantec Firewall/VPN 100/200 系列

默认情况下，Symantec 的全面应用程序检查防火墙技术通过阻止 W32.Sasser.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信端口 (TCP/5554、TCP/9996)。

Symantec Client Security

Symantec 已发行 Symantec Client Security 1.x 及 2.0 的修补程序，可利用感染尝试中出现的 MS_Windows_LSASS_RPC_DS_Request 攻击特征，识别出 LSASS 探测。如果 Sasser 蠕虫应用程序已存在系统上，则使用默认防火墙策略的所有 Symantec Client Security 版本都会在它试图启动 FTP 服务器并传播出站数据端口时，提示用户“允许/禁止/配置规则”。能防护蠕虫的病毒定义文件可于 2004 年 5 月 1 日透过 LiveUpdate 或 Intelligent Updater 获得。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用 W32.Sasser 杀毒工具杀毒

Symantec 安全响应中心开发了一种杀毒工具，可用来清除 W32.Sasser.Worm 感染。这是消除此威胁最简易的方法，请先使用此方法杀毒。

手动杀毒

以下指导适用于所有当前和最新的赛门铁克防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 结束恶意程序 ( Windows NT/2000/XP)。

2. 关闭「系统还原」(Windows XP)。

3. 更新病毒定义文件。

4. 执行完整的系统扫描，并修复所有侦测到的 W32.Sasser.Worm文件。

5. 还原对注册表所做的更改。

如需关于这些步骤的详细信息，请阅读下列指示。

1. 结束恶意程序

注意 : Windows NT/2000/XP 的用户必须先结束恶意程序。

1. 单击 “Ctrl+Alt+Delete” 。

2. 单击"任务管理器" 。

3. 单击 “进程” 选项卡。

4. 双击 “映像名称” 列标题，按字母顺序对进行排序。

5. 滚动列表并查找以下程序:

* avserve.exe

* 任何程序的名称包含 4 或 5 位数，后接着 _up.exe (例如 74354_up.exe)。

6. 如果您找到任何类似的程序，请单击它并单击"结束进程"。

7. 结束"任务管理器"。

2. 禁用系统还原（Windows XP）

如果您运行的是 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。

有关如何关闭系统还原功能的指导，请参阅 Windows 文档或文章：如何禁用或启用 Windows XP 系统还原。

注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设置。

3. 更新病毒定义

赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。

* 使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。

现在提供智能更新程序病毒定义：有关详细说明，请参阅如何使用智能更新程序更新病毒定义文件。

4. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果检测到任何文件被 W32.Sasser.Worm 感染，请单击“删除”。

5. 还原对注册表所做的更改

注意：对系统注册表进行任何修改之前，赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示，请阅读「如何备份 Windows 注册表」文件。

1. 单击“开始”，然后单击“运行”。（将出现“运行”对话框。）

2. 键入 regedit 然后单击“确定”。（将打开注册表编辑器。）

3. 导航至以下键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除值：

"avserve.exe"="%Windir%\\avserve.exe"

5. 退出注册表编辑器。