病毒名稱:蠕蟲病毒Win32.Sasser.A
其它名稱:Win32.Sasser!FTP, W32/Sasser.A (F-Secure), WORM_SASSER.A (Trend), Bat/Sasser.A.Componenet.Trojan, Win32/Sasser.Worm, W32/Sasser.worm (McAfee), W32.Sasser.Worm (Symantec), Worm.Win32.Sasser.a (Kaspersky)
病毒屬性:蠕蟲病毒 危害性:高危害 流行程度:高
基本介紹
- 中文名:蠕蟲病毒Win32.Sasser.A
- 病毒屬性:蠕蟲病毒
- 危害性:高危害
- 流行程度:高
具體介紹:
Win32.Sasser.A是一個通過Windows 2000, XP and 2003 server的系統漏洞(ms04-001)傳播的蠕蟲病毒,病毒檔案長度為15,872位元組。
感染方式
病毒檔案執行後,Sasser.A將自身複製到:%Windows%\avserve.exe 目錄。之後修改註冊表,以便系統啟動時自動執行:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
avserve.exe = "%Windows%\avserve.exe"
傳播方式
Sasser.A會使用TCP 445連線埠隨機掃描ip地址。如果連線成功,將試圖利用"Microsoft Windows LSASS buffer overflow vulnerability" 進行傳播。
微軟提供的此漏洞補丁地址:
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx
病毒利用這個漏洞在遠程機器上建立一個ftp腳本(cmd.ftp)在系統目錄中。病毒使用ftp服務在被感染的機器上,利用連線埠5554,之後通過ftp.exe執行病毒生成的腳本將病毒檔案傳輸過去並執行。傳輸的病毒檔案將放置在系統目錄中,檔案名稱是"隨機數字_up.exe"
例如:
C:\WINDOWS\system32\12756_up.exe
C:\WINDOWS\system32\10831_up.exe
受到感染的機器的 LSASS 服務可能會終止,並會顯示如下提示:
附:Sasser病毒的專用清除工具:Clnsasser.zip。>>下載
清除:
Kill 安全胄甲InoculateIT 23.65.3,Vet 11.x/8310 版本可檢查/清除此病毒。