該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerability (CAN-2003-0907)].
基本介紹
- 中文名:震盪波變種f
- 外文名:W32.Sasser.f.Worm[Symantec]
- 病毒類型:蠕蟲
- 影響系統:Windows 2000, Windows XP
- 編寫工具:Microsoft Visual C++ 6.0
- 傳播途徑:通過使用Windows的一個漏洞傳播
基本信息,特別說明,
基本信息
病毒別名:W32.Sasser.f.Worm[Symantec]
處理時間:2004-05-11
威脅級別:★★★
中文名稱:震盪波變種f
病毒類型:蠕蟲
影響系統:Windows 2000, Windows XP
病毒行為:
編寫工具:
Microsoft Visual C++ 6.0
傳染條件:
發作條件:
系統修改:
A、將自身複製到%SystemRoot%
apatch.exe (通常為C:WinNT或C:Windows)
B、在註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"napatch.exe" = %SystemRoot%
apatch.exe
B、拷貝其本身至系統目錄:
%System%<5位隨機數字>_up.exe
C、在C糟根目錄創建以下檔案:
C:win2.log(該檔案用以記錄本地主機的IP位址)
發作現象:
A、使用AbortSystemShutdown API來防止系統重啟或關機。
B、它開啟TCP連線埠5554來建立一個FTP伺服器,用來當作感染其他機器的伺服器。
C、如果連線成功,則被感染計算機向被連線機器發動溢出攻擊,溢出成功則會在被連線機器上打開一個shell,並打開9996連線埠。然後,被攻擊的計算機將會自動連線被感染計算機的5554連線埠並通過FTP下載蠕蟲的副本,名稱一般為4到5個數字加上"_up"的組合,如(78456_up.exe).
D、由於該病毒本身編寫的漏洞存在,它運行一段時間後會導致LSASS.EXE的崩潰,當LSASS.EXE崩潰時系統默認會重啟。
以下是LSASS.EXE崩潰時可能回彈出的視窗:,;
特別說明
:
檔案名稱為:napatch.exe
