基本介紹
- 中文名:I-Worm/Sasser.e
- 病毒類型:網路蠕蟲
- 病毒大小:15872位元組
- 影響平台:Win2000/XP/2003
具體技術特徵如下:
1).感染系統為:Windows 2000、Windows Server 2003、Windows XP
2).利用微軟的漏洞:MS04-011
3).病毒運行後,將自身複製為%WinDir%\lsasss.exe
4).在註冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
"lsasss.exe" = %WinDir%\lsasss.exe
這樣,病毒在Windows啟動時就得以運行。
5).刪除I-Worm/BBEagle病毒某些變種創建的註冊表啟動項鍵值。
6).病毒運行2個小時後,會顯示下列訊息:
" 1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar the Blaster worm infect your computer
4. This is an message from the SkyNet Team for malicious activity prevention"
大意是:
" 1. 你的計算機存在MS04-011漏洞
2. 類似衝擊波那樣危險的計算機病毒會感染你的系統
3. 請從微軟網站下載MS04-011 LSASS補丁程式,更新Windows
4. 本訊息來自天網有害程式防治小組"
7).在TCP連線埠1023建立FTP服務,用以將自身傳播給其他計算機。
8).隨機在網路上搜尋機器,向遠程計算機的445連線埠傳送包含後門程式的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行後門程式,打開後門連線埠1022。病毒利用後門連線埠1022,使得遠程計算機連線病毒打開的FTP連線埠1023,下載病毒體並運行,從而遭到感染。
9).病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓,Windows系統將會有1分鐘倒計時關閉的提示。
10).病毒在C:\ftplog.txt中記錄其感染的計算機數目和IP位址。
江民KV系列用戶處理對策:
(2)利用江民黑客防火牆關閉TCP連線埠445,1022,1023;
(3)升級江民防毒軟體KV2004到最新病毒庫,來全盤搜尋整個系統.
(4)刪除病毒增加的註冊表鍵值.
(5)開啟KV2004的各項監視開關來預防病毒的入侵.