Worm.Sasser.c

Worm.Sasser.c是一個惡性網路蠕蟲,利用WINDOWS平台的 Lsass 漏洞進行廣泛傳播,開啟上百個執行緒不停攻擊其它網上其它系統,嚴重堵塞網路,病毒的攻擊行為可讓系統不停的倒計時重啟。

基本介紹

  • 中文名:Worm.Sasser.c
  • 影響系統:WinNT/Win2000/WinXP/Win2003
  • 處理時間:2004-05-02
  • 威脅級別:★★★
病毒運行,病毒危害,

病毒運行

和最近出現的大部分蠕蟲病毒不同,該病毒並不通過郵件傳播,而是通過命令易受感染的機器下載特定檔案並運行,來達到感染的目的。檔案名稱為:avserve2.exe。
1、拷貝自身到:
%Windir%\avserve2.exe
2、在註冊表主鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"avserve2.exe" = %SystemRoot%\avserve2.exe
3、拷貝其本身至系統目錄:
%System%\<5位隨機數字>_up.exe
4、在C糟根目錄創建以下檔案:
C:\win.log(該檔案用以記錄本地主機的IP位址)
5、使用AbortSystemShutdown API來防止系統重啟或關機。
6、它開啟TCP連線埠5554來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
7、通過TCP 445連線埠掃描隨機的IP位址,當連線成功時,被感染的計算機向被連線機器發動溢出攻擊,被攻擊的計算機將會自動連線被感染計算機的5554連線埠並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_up"的組合,如(78456_up.exe)。
8、由於該病毒本身編寫的漏洞存在,它運行一段時間後會導致LSASS.EXE的崩潰,當LSASS.EXE崩潰時系統默認會重啟。
9、同時開啟1027個執行緒攻擊。
10、該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerability (CAN-2003-0907)]。

病毒危害

Worm.Sasser.c是一個惡性網路蠕蟲,利用WINDOWS平台的 Lsass漏洞進行廣泛傳播,開啟上百個執行緒不停攻擊其它網上其它系統,嚴重堵塞網路,病毒的攻擊行為可讓系統不停的倒計時重啟。

相關詞條

熱門詞條

聯絡我們