震蕩波最新變種D
W32.Sasser.D[symantec],W32/Sasser.worm.d[mcafee],WORM_SASSER.A[trendmicro],W32/Sasser-D[Sophos],WORM_SASSER.D[Trend],Win32.Sasser.D[Computer Associates],Worm.Win32.Sasser.d[Kaspersky]
該病毒利用微軟安全公告MS04-011中所述的LSASS漏洞.
通過(guò)掃描隨機(jī)選取的ip地址來(lái)查找易感染系統(tǒng)進(jìn)行傳播.
該變種更新了查找易感染主機(jī)的程序.它在試圖建立連接之前會(huì)發(fā)送一個(gè)ICMP echo請(qǐng)求.它的關(guān)聯(lián)文件名和互斥體名稱也有變化.
W32.Sasser.D.Worm可以在Windows 95/98/Me系統(tǒng)上運(yùn)行(但不會(huì)感染它們).雖然這些操作系統(tǒng)不會(huì)被感染,但是它們可以被病毒用來(lái)感染其他易感染系統(tǒng).因此也會(huì)占用Windows 95/98/Me大量的系統(tǒng)資源,導(dǎo)致運(yùn)行速度變慢.
Type:Worm Infection Length:16,384
MD5 0X03F912899B3D90F9915D72FC9ABB91BE
影響系統(tǒng):Windows 2000,Windows XP (注:Windows 95/98/Me不會(huì)被感染,但可被用于傳播該病毒)
不受影響系統(tǒng):DOS,Linux,Macintosh,Microsoft IIS,Novell Netware,OS/2,UNIX,Windows 3.x,Windows 95,Windows 98,Windows Me,Windows NT,Windows Server 2003
技術(shù)細(xì)節(jié):
W32.Sasser.D一旦運(yùn)行將執(zhí)行以下操作:
1.在某些Windows 2000系統(tǒng)上,如果程序入口點(diǎn)IcmpSendEcho不能定位在動(dòng)態(tài)鏈接庫(kù)iphlpapi.dll上,則該病毒將在運(yùn)行任何代碼之前退出.
2.試圖創(chuàng)建名為SkynetSasserVersionWithPingFast的互斥體,如果失敗則退出.該過(guò)程確保在任意時(shí)間一臺(tái)電腦上只能有一個(gè)病毒實(shí)例在運(yùn)行.
3.試圖創(chuàng)建名為Jobaka3的互斥體,但沒(méi)有明顯的作用.
4.在某些2000系統(tǒng)上會(huì)在運(yùn)行代碼之前報(bào)錯(cuò)退出.
5.復(fù)制自己到%Windir%\skynetave.exe.(%Windir%默認(rèn)為C:\Windows or C:\Winnt)
6.添加"skynetave.exe"="%Windir%\skynetave.exe"鍵值到主鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下.
7.試圖連接隨機(jī)ip地址的TCP445端口.如果連接成功,病毒將發(fā)送shellcode到目標(biāo)主機(jī),將導(dǎo)致目標(biāo)主機(jī)在TCP9995端口運(yùn)行一個(gè)遠(yuǎn)程shell.
8.病毒遠(yuǎn)程發(fā)送一個(gè)命令來(lái)生成一個(gè)FTP腳本文件CMD.FTP,接著該腳本在遠(yuǎn)程shell上運(yùn)行,在被感染系統(tǒng)上打開(kāi)端口為5554的FTP服務(wù).隨后被感染主機(jī)通過(guò)端口5554從源主機(jī)下載一個(gè)病毒拷貝.該拷貝的名字由4或5個(gè)數(shù)字后跟_up.exe(例如74354_up.exe).
9.下載完成后,它刪除CMD.FTP文件.并在根目錄生成一個(gè)日志文件WIN2.LOG.該文件包含本機(jī)感染的遠(yuǎn)程主機(jī)數(shù)量和最后感染系統(tǒng)的ip地址.
該病毒創(chuàng)建1024個(gè)線程來(lái)生成隨機(jī)目標(biāo)ip地址.但是它會(huì)略過(guò)以下RFC 1918-reserved地址:
127.0.0.1
10.x.x.x
172.[16-31].x.x
192.168.x.x
169.254.x.x
安全建議:
1.關(guān)閉或移除不需要的服務(wù).例如FTP服務(wù)器,telnet和Web服務(wù)器,都可能被病毒利用來(lái)攻擊你的電腦.
2.如果病毒利用一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù),則禁用或禁止訪問(wèn)這些服務(wù)直至補(bǔ)丁出現(xiàn).
3.始終保證你的系統(tǒng)安裝了最新的補(bǔ)丁,特別是當(dāng)你的電腦是服務(wù)器時(shí).
4.增強(qiáng)系統(tǒng)密碼,盡量使用復(fù)雜的密碼.
查毒步驟:
1.終止病毒進(jìn)程
Windows NT/2000/XP中,按Ctrl+Alt+Delete,點(diǎn)擊任務(wù)管理器,選擇進(jìn)程標(biāo)簽,雙擊映像名稱列來(lái)讓進(jìn)程按字母排序.
查找以下進(jìn)程:avserve2.exe *****_up.exe(*****為4或5位數(shù),例如74354_up.exe).如果發(fā)現(xiàn)則終止這些進(jìn)程.
2.禁用系統(tǒng)還原(Windows XP)
如果你使用Windows XP,強(qiáng)烈建議你暫時(shí)關(guān)閉系統(tǒng)還原.
(如果你確認(rèn)已經(jīng)殺掉了病毒,你可以重新啟用系統(tǒng)還原功能)
3.安裝微軟補(bǔ)丁KB837001,KB828741,KB835732
(包含windows2000.xp.2003相關(guān)中英文關(guān)鍵更新)
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相關(guān)/Sasser專區(qū)/微軟補(bǔ)丁/
ftp://202.115.48.253/Sasser專區(qū)/微軟補(bǔ)丁/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser專區(qū)/微軟補(bǔ)丁/
或使用望江樓Windows在線更新,http://202.115.32.69/,具體操作見(jiàn)頁(yè)面介紹.
xp補(bǔ)丁安裝過(guò)程中提示語(yǔ)言不同的問(wèn)題,請(qǐng)前往病毒版查看[補(bǔ)丁與系統(tǒng)語(yǔ)言包不同解決]一文,或在以上三個(gè)FTP的Sasser專區(qū)根目錄下下載該文文檔.
3.升級(jí)殺毒軟件病毒庫(kù)
如果你使用Norton,可在以從地址下載最新升級(jí)包
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相關(guān)/Sasser專區(qū)
/Norton病毒庫(kù)/
ftp://202.115.48.253/Sasser專區(qū)/Norton病毒庫(kù)/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser專區(qū)/Norton病毒庫(kù)/m
其他殺毒軟件病毒庫(kù)暫無(wú),請(qǐng)自行前往相關(guān)網(wǎng)站下載更新
4.下載專殺工具
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相關(guān)/Sasser專區(qū)/專殺/
ftp://202.115.48.253/Sasser專區(qū)/專殺/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser專區(qū)/專殺/
推薦下載使用諾頓的震蕩波專殺,文件名為FxSasser.exe.
5.查殺病毒
啟動(dòng)專殺工具或殺毒軟件,選擇完整系統(tǒng)掃描進(jìn)行查殺.如果任何文件被查處感染了W32.Sasser.D病毒,刪除之.
6.修改注冊(cè)表(建議你在修改注冊(cè)表之前備份一下)
開(kāi)始-->運(yùn)行-->regedit
選擇HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵,在右側(cè)的框中找到"skynetave.exe"="%Windir%\skynetave
| 
