当前位置: >> 首页 >> 病毒频道 >> 升级报告 >> 升级报告

瑞星紧急升级报告:16.25.31版新增2个可查杀病毒
www.rising.com.cn  2004-5-9 18:44:00  信息源:瑞星公司
广告  

16.25.31版新增2个可查杀病毒,主要包括: WINDOWS下的蠕虫程序(1)脚本病毒(1)

1. Worm.Sasser.e

病毒别名: 震荡波
行为类型: WINDOWS下的蠕虫程序

 Worm.Sasser的变种。开辟128个线程扫描网络。此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性。

一、这是一个类似冲击波的病毒,利用微软操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。
受感染的操作系统有:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition

二、病毒的破坏行为:

    1.首先拷贝自身到windows目录,名为%WINDOWS%\skynetave.exe(16384字节),然后登记到自启动项。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     lsasss.exe = %WINDOWS%\lsasss.exe

   病毒删除键名为:Drvddll_exe,drvsys.exe,ssgrate.exe的注册表键值。

    2.开辟线程,在本地开辟后门。监听TCP 1023端口(支持USER、PASS、PORT、RETR和QUIT命令)
该线程实现一个ftp服务功能,被攻击成功的系统将利用从当前系统把病毒文件复制过去。达到传播
的目的。

    3.病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,
如果试探成功,则运行一个新的病毒进程对该目标进行攻击,把该目标的ip地址保存到“c:\ftplog.txt”。

    4.利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染
此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,
以及系统异常等。由于该病毒在lsass.exe中溢出,可以获取管理员的权限,执行任意指令。

    5.溢出代码会主动从原机器下载病毒程序,运行起来,开始新的攻击。

病毒调用系统的函数阻止系统关闭,并在2小时后(病毒认为完成所有的攻击“任务”时)
   将显示一个消息框。。信息如下:

     1. Your computer is affected by the MS04-011 vulnerability..
     2. It can be that dangerous computer viruses similar..    
        the Blaster worm infect your computer..
     3. Please update your computer with the MS04-011 LSASS patch..   
        from the www.microsoft.com website..
     4. This is an message from the SkyNet Team for..    
        malicious activity prevention

三、危害:

病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞,该病毒在网络上传播迅速,造成网络瘫痪。

清除方法:
请用户立即给爱机打最新的补丁http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

打补丁需要重新启动,如果机器不能重新启动(比如核心网络服务器),可以下载瑞星的内存专杀(全球独家提供)。

手动清除:

(1)打开注册表编辑器,删除如下键值<如果存在的话>:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    "lsasss.exe" = "%WINDOWS%\lsasss.exe"
(2) 打开任务管理器查看是否存在进程名为: lsasss.exe,终止它
(3)删除%WINDOWS%\lsasss.exe
     注:%WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS,
     Win2K下默认为:C:\WINNT。

分析时间:2004-05-09    分析人:liugang

2. Script.Sasser

行为类型: 脚本病毒

这是病毒:“震荡波”的vbs脚本版,该病毒使用一个漏洞攻击工具进行感染。

分析人:omp



信息安全 源自瑞星