震荡波最新变种D
W32.Sasser.D[symantec],W32/Sasser.worm.d[mcafee],WORM_SASSER.A[trendmicro],W32/Sasser-D[Sophos],WORM_SASSER.D[Trend],Win32.Sasser.D[Computer Associates],Worm.Win32.Sasser.d[Kaspersky]
该病毒利用微软安全公告MS04-011中所述的LSASS漏洞.
通过扫描随机选取的ip地址来查找易感染系统进行传播.
该变种更新了查找易感染主机的程序.它在试图建立连接之前会发送一个ICMP echo请求.它的关联文件名和互斥体名称也有变化.
W32.Sasser.D.Worm可以在Windows 95/98/Me系统上运行(但不会感染它们).虽然这些操作系统不会被感染,但是它们可以被病毒用来感染其他易感染系统.因此也会占用Windows 95/98/Me大量的系统资源,导致运行速度变慢.
Type:Worm Infection Length:16,384
MD5 0X03F912899B3D90F9915D72FC9ABB91BE
影响系统:Windows 2000,Windows XP (注:Windows 95/98/Me不会被感染,但可被用于传播该病毒)
不受影响系统:DOS,Linux,Macintosh,Microsoft IIS,Novell Netware,OS/2,UNIX,Windows 3.x,Windows 95,Windows 98,Windows Me,Windows NT,Windows Server 2003
技术细节:
W32.Sasser.D一旦运行将执行以下操作:
1.在某些Windows 2000系统上,如果程序入口点IcmpSendEcho不能定位在动态链接库iphlpapi.dll上,则该病毒将在运行任何代码之前退出.
2.试图创建名为SkynetSasserVersionWithPingFast的互斥体,如果失败则退出.该过程确保在任意时间一台电脑上只能有一个病毒实例在运行.
3.试图创建名为Jobaka3的互斥体,但没有明显的作用.
4.在某些2000系统上会在运行代码之前报错退出.
5.复制自己到%Windir%\skynetave.exe.(%Windir%默认为C:\Windows or C:\Winnt)
6.添加"skynetave.exe"="%Windir%\skynetave.exe"键值到主键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下.
7.试图连接随机ip地址的TCP445端口.如果连接成功,病毒将发送shellcode到目标主机,将导致目标主机在TCP9995端口运行一个远程shell.
8.病毒远程发送一个命令来生成一个FTP脚本文件CMD.FTP,接着该脚本在远程shell上运行,在被感染系统上打开端口为5554的FTP服务.随后被感染主机通过端口5554从源主机下载一个病毒拷贝.该拷贝的名字由4或5个数字后跟_up.exe(例如74354_up.exe).
9.下载完成后,它删除CMD.FTP文件.并在根目录生成一个日志文件WIN2.LOG.该文件包含本机感染的远程主机数量和最后感染系统的ip地址.
该病毒创建1024个线程来生成随机目标ip地址.但是它会略过以下RFC 1918-reserved地址:
127.0.0.1
10.x.x.x
172.[16-31].x.x
192.168.x.x
169.254.x.x
安全建议:
1.关闭或移除不需要的服务.例如FTP服务器,telnet和Web服务器,都可能被病毒利用来攻击你的电脑.
2.如果病毒利用一个或多个网络服务,则禁用或禁止访问这些服务直至补丁出现.
3.始终保证你的系统安装了最新的补丁,特别是当你的电脑是服务器时.
4.增强系统密码,尽量使用复杂的密码.
查毒步骤:
1.终止病毒进程
Windows NT/2000/XP中,按Ctrl+Alt+Delete,点击任务管理器,选择进程标签,双击映像名称列来让进程按字母排序.
查找以下进程:avserve2.exe *****_up.exe(*****为4或5位数,例如74354_up.exe).如果发现则终止这些进程.
2.禁用系统还原(Windows XP)
如果你使用Windows XP,强烈建议你暂时关闭系统还原.
(如果你确认已经杀掉了病毒,你可以重新启用系统还原功能)
3.安装微软补丁KB837001,KB828741,KB835732
(包含windows2000.xp.2003相关中英文关键更新)
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/微软补丁/
ftp://202.115.48.253/Sasser专区/微软补丁/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/微软补丁/
或使用望江楼Windows在线更新,//202.115.32.69/,具体操作见页面介绍.
xp补丁安装过程中提示语言不同的问题,请前往病毒版查看[补丁与系统语言包不同解决]一文,或在以上三个FTP的Sasser专区根目录下下载该文文档.
3.升级杀毒软件病毒库
如果你使用Norton,可在以从地址下载最新升级包
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区
/Norton病毒库/
ftp://202.115.48.253/Sasser专区/Norton病毒库/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/Norton病毒库/m
其他杀毒软件病毒库暂无,请自行前往相关网站下载更新
4.下载专杀工具
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/专杀/
ftp://202.115.48.253/Sasser专区/专杀/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/专杀/
推荐下载使用诺顿的震荡波专杀,文件名为FxSasser.exe.
5.查杀病毒
启动专杀工具或杀毒软件,选择完整系统扫描进行查杀.如果任何文件被查处感染了W32.Sasser.D病毒,删除之.
6.修改注册表(建议你在修改注册表之前备份一下)
开始-->运行-->regedit
选择HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,在右侧的框中找到"skynetave.exe"="%Windir%\skynetave
| 
