基本介紹
- 中文名:“震盪波”D變種
- 外文名:Worm.Sasser.d
- 病毒長度:16,384 位元組
- 威脅級別:4A
簡介,特別說明,其他細節,解決方案,
簡介
病毒信息:
中文名稱: 震盪波變種D
病毒類型: 蠕蟲
受影響系統: WinNT/Win2000/WinXP/Win2003
發現日期: 2004.05.03
處理日期: 2004.05.03
發作現象:
· 它開啟TCP連線埠5554來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
·開啟128執行緒掃描隨機IP,但是將跳過以下的保留IP:
127.0.0.1
10.*.*.*
172.16.*.* - 172.31.*.*
192.168.*.*
169.254.*.*
在確定目標可達後會試圖連線目標的的TCP 445連線埠,如果連線成功,則開始對該目標進行攻擊,並把最近攻擊的一個目標的ip地址和攻擊成功的目標數目保存到C:\win2.log。
·如果連線成功,則被感染計算機向被連線機器發動溢出攻擊,溢出成功則會在被連線機器上打開一個shell,並打開9995連線埠。然後,被攻擊的計算機將會自動連線被感染計算機的5554連線埠,並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_up"的組合,如(78456_up.exe)。
特別說明
這次的變種又將掃描的執行緒數改為128個,並且在連線目標機器之前,會先傳送一個ICMP數據包測試目標機器是否可達,所以比C變種傳播效率更高,但這將導致它在某些版本的WinNT/Win2000系統上無法發作。
該病毒只感染Windows XP/2003系統及部分WinNT/Win2000系統。某些WinNT/Win2000系統會受到攻擊,但從源感染主機下載下來的病毒程式在這些系統下無法正常運行,會彈出一個出錯視窗,所以這些機器不會再成為新的感染源。
其他細節
創建了互斥體Jobaka3和SkynetSasserVersionWithPingFast,後者用於判斷是否已運行。
病毒啟動後會調用系統API來限制系統重啟或關機,但實際上不一定能達到這個目的。
系統修改:
. 將自身複製到%SystemRoot%\skynetave.exe
. 在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"skynetave.exe" = %SystemRoot%\skynetave.exe
. 拷貝其本身至系統:%System%\<4或5位隨機數字>_up.exe
解決方案
·使用針對該病毒的專殺工具;
·建議使用“震盪波”專用防火牆預防該病毒, 升級微軟補丁程式;
· 手工解決方案
首先,若系統為WinMe,則請先關閉系統還原功能;
(毒霸論壇:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系統還原”功能)
步驟一,使用進程式管里器結束病毒進程
右鍵單擊系統列,彈出選單,選擇“任務管理器”,調出“Windows任務管理器”視窗。在任務
管理器中,單擊“進程”標籤,在例表欄內找到病毒進程“skynetave.exe”,單擊“結束進程
按鈕”,點擊“是”,結束病毒進程,然後關閉“Windows任務管理器”;
步驟二,查找並刪除病毒程式
"skynetave.exe",將它刪除;然後進入系統目錄(Winnt\system32或windows\system32),找到檔案"*_up.exe", 將它們刪除;
步驟三,清除病毒在註冊表里添加的項
打開註冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter;
在左邊的面板中, 雙擊(按箭頭順序查找,找到後雙擊):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右邊的面板中, 找到並刪除如下項目:
"skynetave.exe" = %SystemRoot%\skynetave.exe
關閉註冊表編輯器.