病毒特征
Win32.Sasser.A是一个通过Windows 2000, XP and 2003 server的系统漏洞(ms04-001)传播的蠕虫病毒,病毒文件长度为15,872字节。
感染方式
病毒文件执行后,Sasser.A将自身复制到:%Windows%\avserve.exe 目录。之后修改注册表,以便系统启动时自动执行:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
avserve.exe = "%Windows%\avserve.exe"
传播方式
Sasser.A会使用TCP 445端口随机扫描ip地址。如果连接成功,将试图利用"Microsoft Windows LSASS buffer overflow vulnerability" 进行传播。
微软提供的此漏洞补丁地址:
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx 病毒利用这个漏洞在远程机器上建立一个ftp脚本(cmd.ftp)在系统目录中。病毒使用ftp服务在被感染的机器上,利用端口5554,之后通过ftp.exe执行病毒生成的脚本将病毒文件传输过去并执行。传输的病毒文件将放置在系统目录中,文件名是"随机数字_up.exe" 例如:
C:\WINDOWS\system32\12756_up.exe
C:\WINDOWS\system32\10831_up.exe
受到感染的机器的 LSASS 服务可能会终止,并会显示如下提示:
病毒在进行端口扫描时会产生大量的线程,并且将扫描的IP地址记录到染毒机器的c:\win.log文件中。 附:Sasser病毒的专用清除工具:Clnsasser.zip。>>下载
|
