震荡波最新变种D

W32.Sasser.D[symantec],W32/Sasser.worm.d[mcafee],WORM_SASSER.A[trendmicro],W32/Sasser-D[Sophos],WORM_SASSER.D[Trend],Win32.Sasser.D[Computer Associates],Worm.Win32.Sasser.d[Kaspersky]

该病毒利用微软安全公告MS04-011中所述的LSASS漏洞.

通过扫描随机选取的ip地址来查找易感染系统进行传播.

该变种更新了查找易感染主机的程序.它在试图建立连接之前会发送一个ICMP echo请求.它的关联文件名和互斥体名称也有变化.

W32.Sasser.D.Worm可以在Windows 95/98/Me系统上运行(但不会感染它们).虽然这些操作系统不会被感染,但是它们可以被病毒用来感染其他易感染系统.因此也会占用Windows 95/98/Me大量的系统资源,导致运行速度变慢.

Type:Worm Infection Length:16,384

MD5 0X03F912899B3D90F9915D72FC9ABB91BE

影响系统:Windows 2000,Windows XP (注:Windows 95/98/Me不会被感染,但可被用于传播该病毒)

不受影响系统:DOS,Linux,Macintosh,Microsoft IIS,Novell Netware,OS/2,UNIX,Windows 3.x,Windows 95,Windows 98,Windows Me,Windows NT,Windows Server 2003

技术细节:

W32.Sasser.D一旦运行将执行以下操作:

1.在某些Windows 2000系统上,如果程序入口点IcmpSendEcho不能定位在动态链接库iphlpapi.dll上,则该病毒将在运行任何代码之前退出.

2.试图创建名为SkynetSasserVersionWithPingFast的互斥体,如果失败则退出.该过程确保在任意时间一台电脑上只能有一个病毒实例在运行.

3.试图创建名为Jobaka3的互斥体,但没有明显的作用.

4.在某些2000系统上会在运行代码之前报错退出.

5.复制自己到%Windir%\skynetave.exe.(%Windir%默认为C:\Windows or C:\Winnt)

6.添加"skynetave.exe"="%Windir%\skynetave.exe"键值到主键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下.

7.试图连接随机ip地址的TCP445端口.如果连接成功,病毒将发送shellcode到目标主机,将导致目标主机在TCP9995端口运行一个远程shell.

8.病毒远程发送一个命令来生成一个FTP脚本文件CMD.FTP,接着该脚本在远程shell上运行,在被感染系统上打开端口为5554的FTP服务.随后被感染主机通过端口5554从源主机下载一个病毒拷贝.该拷贝的名字由4或5个数字后跟_up.exe(例如74354_up.exe).

9.下载完成后,它删除CMD.FTP文件.并在根目录生成一个日志文件WIN2.LOG.该文件包含本机感染的远程主机数量和最后感染系统的ip地址.

该病毒创建1024个线程来生成随机目标ip地址.但是它会略过以下RFC 1918-reserved地址:

127.0.0.1

10.x.x.x

172.[16-31].x.x

192.168.x.x

169.254.x.x

安全建议:

1.关闭或移除不需要的服务.例如FTP服务器,telnet和Web服务器,都可能被病毒利用来攻击你的电脑.

2.如果病毒利用一个或多个网络服务,则禁用或禁止访问这些服务直至补丁出现.

3.始终保证你的系统安装了最新的补丁,特别是当你的电脑是服务器时.

4.增强系统密码,尽量使用复杂的密码.

查毒步骤:

1.终止病毒进程

Windows NT/2000/XP中,按Ctrl+Alt+Delete,点击任务管理器,选择进程标签,双击映像名称列来让进程按字母排序.

查找以下进程:avserve2.exe *****_up.exe(*****为4或5位数,例如74354_up.exe).如果发现则终止这些进程.

2.禁用系统还原(Windows XP)

如果你使用Windows XP,强烈建议你暂时关闭系统还原.

(如果你确认已经杀掉了病毒,你可以重新启用系统还原功能)

3.安装微软补丁KB837001,KB828741,KB835732

(包含windows2000.xp.2003相关中英文关键更新)

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/微软补丁/

ftp://202.115.48.253/Sasser专区/微软补丁/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/微软补丁/

或使用望江楼Windows在线更新,http://202.115.32.69/,具体操作见页面介绍.

xp补丁安装过程中提示语言不同的问题,请前往病毒版查看[补丁与系统语言包不同解决]一文,或在以上三个FTP的Sasser专区根目录下下载该文文档.

3.升级杀毒软件病毒库

如果你使用Norton,可在以从地址下载最新升级包

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区

/Norton病毒库/

ftp://202.115.48.253/Sasser专区/Norton病毒库/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/Norton病毒库/m

其他杀毒软件病毒库暂无，请自行前往相关网站下载更新

4.下载专杀工具

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/专杀/

ftp://202.115.48.253/Sasser专区/专杀/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/专杀/

推荐下载使用诺顿的震荡波专杀,文件名为FxSasser.exe.

5.查杀病毒

启动专杀工具或杀毒软件,选择完整系统扫描进行查杀.如果任何文件被查处感染了W32.Sasser.D病毒,删除之.

6.修改注册表(建议你在修改注册表之前备份一下)

开始-->运行-->regedit

选择HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,在右侧的框中找到"skynetave.exe"="%Windir%\skynetave