Worm/Sasser.f

該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,也是通過微軟的最新LSASS漏洞進行傳播。如果在純DOS環境下執行病毒檔案,會顯示出譴責美國大兵的英文語句。

基本介紹

  • 軟體名稱:Worm/Sasser.f
  • 軟體平台:Windows 2000、Windows XP
  • 軟體大小:74752位元組
  • 病毒類型:網路蠕蟲
I-Worm/Sasser.f
病毒類型:網路蠕蟲
病毒大小:74752位元組
傳播方式:網路
具體技術特徵如下:
1.感染系統為:Windows 2000、Windows XP
2.利用微軟的漏洞:MS04-011
3.病毒運行後,將自身複製為%WinDir%\napatch.exe
4.在註冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
"napatch.exe" = %WinDir%\napatch.exe
這樣,病毒在Windows啟動時就得以運行。
5.在TCP連線埠5554建立FTP服務,用以將自身傳播給其他計算機。
6.隨機在網路上搜尋機器,向遠程計算機的445連線埠傳送包含後門程式的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行後門程式,打開後門連線埠9996。病毒利用後門連線埠9996,使得遠程計算機連線病毒打開的FTP連線埠5554,下載病毒體並運行,從而遭到感染。
7.病毒還會利用漏洞攻擊LSASS.EXE進程,被攻擊計算機的LSASS.EXE進程會癱瘓,Windows系統將會有1分鐘倒計時關閉的提示。
8.病毒在C:\win2.log中記錄其感染的計算機數目和IP位址。
江民KV系列用戶處理對策:
(1)KV用戶5月1日的病毒庫即可查殺。下載最新的震盪波病毒專殺工具。
(2)安裝系統補丁程式,或下載江民公司的記憶體補丁程式。
(3)利用江民黑客防火牆關閉TCP連線埠445,5554,9996;
(4)刪除病毒增加的註冊表鍵值
(5)開啟KV系列防毒軟體的各項監視開關來預防病毒的入侵。
註:%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。

相關詞條

熱門詞條

聯絡我們