基本介紹
- 中文名:Worm.Sasser.c
- 影響系統:WinNT/Win2000/WinXP/Win2003
- 處理時間:2004-05-02
- 威脅級別:★★★
病毒運行,病毒危害,
病毒運行
1、拷貝自身到:
%Windir%\avserve2.exe
2、在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"avserve2.exe" = %SystemRoot%\avserve2.exe
3、拷貝其本身至系統目錄:
%System%\<5位隨機數字>_up.exe
4、在C糟根目錄創建以下檔案:
C:\win.log(該檔案用以記錄本地主機的IP位址)
5、使用AbortSystemShutdown API來防止系統重啟或關機。
6、它開啟TCP連線埠5554來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
7、通過TCP 445連線埠掃描隨機的IP位址,當連線成功時,被感染的計算機向被連線機器發動溢出攻擊,被攻擊的計算機將會自動連線被感染計算機的5554連線埠並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_up"的組合,如(78456_up.exe)。
8、由於該病毒本身編寫的漏洞存在,它運行一段時間後會導致LSASS.EXE的崩潰,當LSASS.EXE崩潰時系統默認會重啟。
9、同時開啟1027個執行緒攻擊。