I-Worm/Sasser

I-Worm/Sasser (震荡波)

病毒类型：蠕虫病毒

蠕虫长度:15872字节

危害等级：***

感染系统:Windows 2000/2003/XP

该病毒利用的是微软的漏洞:MS04-011进行传播，下载地址:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

传播过程及特征：

(1)该蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播。

(2)该蠕虫用来传播的文件名称是:avserve.exe (大小是15872字节)。

(3)该蠕虫不通过邮件等传统蠕虫利用的途径传播,它的传播不需要人为的干预,该蠕虫能自动在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行。

(4)从TCP的1068端口开始搜寻可能的IP地址并试图传播。

(5)在TCP端口5554,建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本.该脚本能自动引导被感染的机器下载执行蠕虫程序.所有这些操作的进行都是通过TCP端口5554进行的。

文件特征:

c:win.log : IP地址列表

%Windir%avserve.exe :蠕虫病毒文件本身

%Windir%system3211113_up.exe :可能生成的蠕虫文件本身

%Windir%system3216843_up.exe :可能生成的蠕虫文件本身

注册表特征:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下添加键值："avserve.exe" = %Windir%avserve.exe 该特征是为了保证该蠕虫能随系统启动自动运行。

系统副作用:

感染的系统可能重新启动机器;原因是该蠕虫可能导致系统文件LSASS.EXE的崩溃。

这是计算机用户除了通过文件查看是否感染外的最直接的表现形式.从某种意义上说:该病毒有的类似I-Worm/Blaster冲击波病毒的破坏表现形式。

江民KV系列用户处理对策:

(1)安装系统补丁程序:www.microsoft.com/technet/security/bulletin/MS04-011.mspx

(2)利用江民黑客防火墙关闭TCP端口5554。

(3)利用江民黑客防火墙关闭TCP端口1068。

(4)升级江民杀毒软件KV2004到最新病毒库,来全盘搜索整个系统。

(5)删除病毒增加的注册表键值。

(6)开启KV2004的各项监视开关来预防病毒的入侵。