2004年5月1日,反病毒中心截获I-Worm/Sasser (震荡波)网络蠕虫病毒,利用微软系统漏洞(利用的漏洞http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx),侵害计算机用户。
特性:
(1)该蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播.
(2)该蠕虫用来传播的文件名称是:avserve.exe (大小是15872字节)
(3)该蠕虫不通过邮件等传统蠕虫利用的途径传播,它的传播不需要人为的干预,该蠕虫能自动
在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行.
(4)从TCP的1068端口开始搜寻可能的IP地址并试图传播.
(5)在TCP端口5554,建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本.该脚本能自动引导
被感染的机器下载执行蠕虫程序.所有这些操作的进行都是通过TCP端口5554进行的.
文件特征:
c:win.log : IP地址列表
c:windowsavserve.exe : 蠕虫病毒文件本身
c:WINDOWSsystem3211113_up.exe : 可能生成的蠕虫文件本身
c:WINDOWSsystem3216843_up.exe : 可能生成的蠕虫文件本身
注册表特征:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"avserve.exe" = C:WINDOWSavserve.exe
该特征是为了保证该蠕虫能随系统启动自动运行.
系统副作用:感染的系统可能重新启动机器;原因是该蠕虫可能导致系统文件LSASS.EXE的崩溃.
这是计算机用户除了通过文件查看是否感染外的最直接的表现形式.从某种意义上说:该病毒有的类似
I-Worm/Blaster冲击波病毒的破坏表现形式.
用户处理对策:
(1)安装系统补丁程序: http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
(2)升级杀毒软件并全盘搜索整个系统,具体安装、使用和升级方法请参阅:《浙江林学院网络防病毒软件使用指南》。
现代教育技术中心
2004-5-8
