蠕虫病毒Win32.Sasser.A

病毒名称：蠕虫病毒Win32.Sasser.A

其它名称：Win32.Sasser!FTP, W32/Sasser.A (F-Secure), WORM_SASSER.A (Trend), Bat/Sasser.A.Componenet.Trojan, Win32/Sasser.Worm, W32/Sasser.worm (McAfee), W32.Sasser.Worm (Symantec), Worm.Win32.Sasser.a (Kaspersky)

病毒属性：蠕虫病毒 危害性：高危害 流行程度：高

具体介绍：

病毒特征

Win32.Sasser.A是一个通过Windows 2000, XP and 2003 server的系统漏洞(ms04-001)传播的蠕虫病毒，病毒文件长度为15,872字节。

感染方式

病毒文件执行后，Sasser.A将自身复制到：%Windows%avserve.exe 目录。之后修改注册表，以便系统启动时自动执行：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

avserve.exe = "%Windows%avserve.exe"

传播方式

Sasser.A会使用TCP 445端口随机扫描ip地址。如果连接成功，将试图利用"Microsoft Windows LSASS buffer overflow vulnerability" 进行传播。

微软提供的此漏洞补丁地址：

http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

病毒利用这个漏洞在远程机器上建立一个ftp脚本（cmd.ftp）在系统目录中。病毒使用ftp服务在被感染的机器上，利用端口5554，之后通过ftp.exe执行病毒生成的脚本将病毒文件传输过去并执行。传输的病毒文件将放置在系统目录中，文件名是"随机数字_up.exe"

例如：

C:WINDOWSsystem3212756_up.exe

C:WINDOWSsystem3210831_up.exe

受到感染的机器的 LSASS 服务可能会终止，并会显示如下提示：

病毒在进行端口扫描时会产生大量的线程，并且将扫描的IP地址记录到染毒机器的c:win.log文件中。

附：Sasser病毒的专用清除工具：Clnsasser.zip。>>下载

清除：

Kill 安全胄甲InoculateIT 23.65.3，Vet 11.x/8310 版本可检查/清除此病毒。