|
发布日期:2004-05-11
影响系统:Windows 2000, Windows Server 2003, Windows XP
蠕虫别名:W32/Sasser.worm [McAfee] 震荡波[瑞星]
蠕虫信息:
W32.Sasser蠕虫是一个利用微软操作系统的Lsass缓冲区溢出漏洞( MS04-011漏洞信
息请参见http://www.ccert.edu.cn/announce/show.php?handle=101 )进行传播的
蠕虫。由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会
造成很大的冲击。
详细信息:
蠕虫感染系统后会做以下操作:
1.在系统中创建一个互斥体以保证系统中在任何时候有且只有一个蠕虫进程在运行。
2.将自身拷贝为%Windir%\avserve.exe或者%Windir%\avserve2.exe(注意%windir%是个变
量,它根据系统版本和安装路径不同而有所不同,通常情况是c:\windows或者c:\winnt)
3.修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
项中添加"avserve.exe"="%Windir%\avserve.exe"值这个操作保证蠕虫在系统重新
启动后能够自动运行。
4.利用AbortSystemShutdown函数(系统意外中断错误重起函数)使系统重新启动
5.开启一个FTP服务在TCP 5554端口,用来向其他被感染的机器传送蠕虫程序
6.产生随机的网络地址,尝试连接这些地址的TCP 445端口并发送攻击程序,一旦攻
击成功,蠕虫会在被攻击的机器的TCP 9996端口上创建一个远程的shell,然后利用
这个远程的shell执行命令让被攻击的机器连接到发起攻击的机器的FTP 5554端口
上下载蠕虫文件并运行。这个被下载来的蠕虫文件名是由4-5个随机的阿拉伯数字
和_up.exe组成的(如23423_up.exe)
随机的地址按如下规则生成:
* 50%的机会是由系统随机生成的
* 25%的机会随机生成的ip地址的前八位(二进制)与本地的IP地址的前八位
相同,也就是说在被感染IP地址相同的A类地址段中随机生成
* 25%的机会随机生成的ip地址的前16位(二进制)与本地IP地址的前十六
位相同,也就是说在被感染IP地址相同的B类地址中随机生成
7.发起128个线程对上面产生的IP地址进行扫描。新的变种会发起1024个线程扫描。蠕虫的
这个操作会占用大量的系统资源,可能使CPU的负载到达100%无法响应系统的正常请求。
检测控制方法
个人用户控制方法:
* 安装相应的补丁程序
* 如果无法及时安装补丁程序,请使用防火墙阻断以下端口的数据连接
135/tcp
139/tcp
445/tcp
1025/tcp
5554/tcp
9996/tcp
网络控制方法:
在边界路由器上添加如下规则阻断445端口上的数据
access-list 110 deny tcp any any eq 445
查杀办法:
检查是否被感染的方法:
如果系统中存在以下特征就表明您已被W32.Sasser蠕虫感染了
* 系统进程中存在名为 avserve.exe/avserve2.exe/skynetave.exe 的进程
* 系统目录中存在 avserve.exe/avserve2.exe/skynetave.exe 文件
* 注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项
中存在 "avserve.exe"="%Windir%\avserve.exe [W32.Sasser.Worm]
或 "avserve2.exe"="%Windir%\avserve2.exe" [W32.Sasser.B/C.Worm]
或 "skynetave.exe"="%Windir%\skynetave.exe" [W32.Sasser.D]
注意蠕虫在传播过程中如果失败,会导致系统产生异常错误重起,如果您的系统
发现这种情况,请尽快安装相应的补丁程序。
手动清除方法:
1.下载相应的补丁程序到本地硬盘上: 87110422,85511231
window2000 +(sp1或sp2或sp3或sp4)补丁程中文版
winxp 中文版+sp1补丁程序中文版
win2003 补丁程序中文版
2.结束系统进程中的下列进程
* avserve.exe或者avserve2.exe
* 由4-5个随机的阿拉伯数字和_up.exe组成的名字进程(如23423_up.exe)
3.升级系统的杀毒软件到最新的病毒库
4.使用杀毒软件进行全盘扫描,发现病毒后选择删除
5.编辑注册表程序删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中
的"avserve.exe"="%Windir%\avserve.exe值
6.安装补丁程序后重新启动机器
使用专杀工具清除方法:
1、下载专杀工具 FxSasser.exe
下载地址:ftp://ftp.gznet.edu.cn/pub/patch/FxSasser.exe
2、关闭其他应用程序运行专杀工具
或者下载清除近期流行蠕虫病毒的工具包并运行
下载地址:ftp://ftp.gznet.edu.cn/pub/patch/antivirus.rar
* 工具来源: www.symantec.com ,尽量保持同步更新。
压缩包下载地址:
集成包针对病毒有(不限于):
W32.Sasser
W32.Netsky@mm
W32.Beagle@mm
W32.Gaobot
W32.Blackmal.B@mm
W32.Gaobot.UJ
W32.Beagle.MO@mm
W32.Welchia.Worm
W32.HLLW.Anig
W32.Mydoom@mm
W32.Sober
W32.Mimail
W32.Swen.A@mm
W32.Sobig.F@mm
W32.Dumaru
W32.Blaster.Worm
W32.Sobig.E@mm
参考网站:
http://vil.nai.com/vil/content/v_125007.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
http://www.ccert.edu.cn/announce/sasser.html
http://comic.sjtu.edu.cn/bbs/view.asp?TID=3505
http://comic.sjtu.edu.cn/bbs/view.asp?TID=3308
|
