I-Worm/Sasser

I-Worm/Sasser是利用微軟漏洞:MS04-011進行傳播的電腦病毒。

基本介紹

  • 中文名震盪波
  • 外文名:I-Worm/Sasser
  • 病毒類型病毒
  • 蠕蟲長度:15872位元組
  • 感染系統:Windows 2000/2003/XP
  • 危害等級:***
  • 傳播途徑系統漏洞
介紹,傳播過程,檔案特徵,特徵,副作用,處理對策,

介紹

I-Worm/Sasser (震盪波)
病毒類型:蠕蟲病毒
蠕蟲長度:15872位元組
危害等級:***
感染系統:Windows 2000/2003/XP
該病毒利用的是微軟漏洞:MS04-011進行傳播

傳播過程

⑴該蠕蟲不象往常的蠕蟲那樣通過郵件傳播,而只是通過系統漏洞傳播。
⑵該蠕蟲用來傳播的檔案名稱稱是:avserve.exe (大小是15872位元組)。
⑶該蠕蟲不通過郵件等傳統蠕蟲利用的途徑傳播,它的傳播不需要人為的干預,該蠕蟲能自動在網路上搜尋含有漏洞的系統,並引導這些有漏洞的系統下載病毒檔案並執行。
⑷從TCP的1068連線埠開始搜尋可能的IP位址並試圖傳播。
⑸在TCP連線埠5554,建立FTP檔案伺服器,該蠕蟲能自動創建FTP腳本檔案,並運行該腳本.該腳本能自動引導被感染的機器下載執行蠕蟲程式.所有這些操作的進行都是通過TCP連線埠5554進行的。

檔案特徵

c:\win.log : IP位址列表
%Windir%\avserve.exe :蠕蟲病毒檔案本身
%Windir%\system32\11113_up.exe :可能生成的蠕蟲檔案本身
%Windir%\system32\16843_up.exe :可能生成的蠕蟲檔案本身

特徵

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下添加鍵值:"avserve.exe" = %Windir%\avserve.exe 該特徵是為了保證該蠕蟲能隨系統啟動自動運行。

副作用

感染的系統可能重新啟動機器;原因是該蠕蟲可能導致系統檔案LSASS.EXE的崩潰。
這是計算機用戶除了通過檔案查看是否感染外的最直接的表現形式.從某種意義上說:該病毒有的類似I-Worm/Blaster衝擊波病毒的破壞表現形式。

處理對策

安裝系統補丁程式:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
⑵利用江民黑客防火牆關閉TCP連線埠5554。
⑶利用江民黑客防火牆關閉TCP連線埠1068。
⑷升級江民防毒軟體KV2004到最新病毒庫,來全盤搜尋整個系統。
⑸刪除病毒增加的註冊表鍵值
⑹開啟KV2004的各項監視開關來預防病毒的入侵。

相關詞條

熱門詞條

聯絡我們