I-Worm/Sasser

I-Worm/Sasser (震盪波)

病毒類型：蠕蟲病毒

蠕蟲長度：15872位元組

危害等級：***

感染系統：Windows 2000/2003/XP

該病毒利用的是微軟的漏洞:MS04-011進行傳播

⑴該蠕蟲不象往常的蠕蟲那樣通過郵件傳播，而只是通過系統漏洞傳播。

⑵該蠕蟲用來傳播的檔案名稱稱是：avserve.exe (大小是15872位元組)。

⑶該蠕蟲不通過郵件等傳統蠕蟲利用的途徑傳播，它的傳播不需要人為的干預，該蠕蟲能自動在網路上搜尋含有漏洞的系統，並引導這些有漏洞的系統下載病毒檔案並執行。

⑷從TCP的1068連線埠開始搜尋可能的IP位址並試圖傳播。

⑸在TCP連線埠5554，建立FTP檔案伺服器，該蠕蟲能自動創建FTP腳本檔案，並運行該腳本.該腳本能自動引導被感染的機器下載執行蠕蟲程式.所有這些操作的進行都是通過TCP連線埠5554進行的。

c:\win.log : IP位址列表

%Windir%\avserve.exe :蠕蟲病毒檔案本身

%Windir%\system32\11113_up.exe ：可能生成的蠕蟲檔案本身

%Windir%\system32\16843_up.exe ：可能生成的蠕蟲檔案本身

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加鍵值："avserve.exe" = %Windir%\avserve.exe 該特徵是為了保證該蠕蟲能隨系統啟動自動運行。

感染的系統可能重新啟動機器；原因是該蠕蟲可能導致系統檔案LSASS.EXE的崩潰。

這是計算機用戶除了通過檔案查看是否感染外的最直接的表現形式.從某種意義上說：該病毒有的類似I-Worm/Blaster衝擊波病毒的破壞表現形式。

⑴安裝系統補丁程式：www.microsoft.com/technet/security/bulletin/MS04-011.mspx

⑵利用江民黑客防火牆關閉TCP連線埠5554。

⑶利用江民黑客防火牆關閉TCP連線埠1068。

⑷升級江民防毒軟體KV2004到最新病毒庫，來全盤搜尋整個系統。

⑸刪除病毒增加的註冊表鍵值。

⑹開啟KV2004的各項監視開關來預防病毒的入侵。