震蕩波最新變種D
W32.Sasser.D[symantec],W32/Sasser.worm.d[mcafee],WORM_SASSER.A[trendmicro],W32/Sasser-D[Sophos],WORM_SASSER.D[Trend],Win32.Sasser.D[Computer Associates],Worm.Win32.Sasser.d[Kaspersky]
該病毒利用微軟安全公告MS04-011中所述的LSASS漏洞.
通過掃描隨機選取的ip地址來查找易感染系統進行傳播.
該變種更新了查找易感染主機的程序.它在試圖建立連接之前會發送一個ICMP echo請求.它的關聯文件名和互斥體名稱也有變化.
W32.Sasser.D.Worm可以在Windows 95/98/Me系統上運行(但不會感染它們).雖然這些操作系統不會被感染,但是它們可以被病毒用來感染其他易感染系統.因此也會占用Windows 95/98/Me大量的系統資源,導致運行速度變慢.
Type:Worm Infection Length:16,384
MD5 0X03F912899B3D90F9915D72FC9ABB91BE
影響系統:Windows 2000,Windows XP (注:Windows 95/98/Me不會被感染,但可被用于傳播該病毒)
不受影響系統:DOS,Linux,Macintosh,Microsoft IIS,Novell Netware,OS/2,UNIX,Windows 3.x,Windows 95,Windows 98,Windows Me,Windows NT,Windows Server 2003
技術細節:
W32.Sasser.D一旦運行將執行以下操作:
1.在某些Windows 2000系統上,如果程序入口點IcmpSendEcho不能定位在動態鏈接庫iphlpapi.dll上,則該病毒將在運行任何代碼之前退出.
2.試圖創建名為SkynetSasserVersionWithPingFast的互斥體,如果失敗則退出.該過程確保在任意時間一臺電腦上只能有一個病毒實例在運行.
3.試圖創建名為Jobaka3的互斥體,但沒有明顯的作用.
4.在某些2000系統上會在運行代碼之前報錯退出.
5.復制自己到%Windir%\skynetave.exe.(%Windir%默認為C:\Windows or C:\Winnt)
6.添加"skynetave.exe"="%Windir%\skynetave.exe"鍵值到主鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下.
7.試圖連接隨機ip地址的TCP445端口.如果連接成功,病毒將發送shellcode到目標主機,將導致目標主機在TCP9995端口運行一個遠程shell.
8.病毒遠程發送一個命令來生成一個FTP腳本文件CMD.FTP,接著該腳本在遠程shell上運行,在被感染系統上打開端口為5554的FTP服務.隨后被感染主機通過端口5554從源主機下載一個病毒拷貝.該拷貝的名字由4或5個數字后跟_up.exe(例如74354_up.exe).
9.下載完成后,它刪除CMD.FTP文件.并在根目錄生成一個日志文件WIN2.LOG.該文件包含本機感染的遠程主機數量和最后感染系統的ip地址.
該病毒創建1024個線程來生成隨機目標ip地址.但是它會略過以下RFC 1918-reserved地址:
127.0.0.1
10.x.x.x
172.[16-31].x.x
192.168.x.x
169.254.x.x
安全建議:
1.關閉或移除不需要的服務.例如FTP服務器,telnet和Web服務器,都可能被病毒利用來攻擊你的電腦.
2.如果病毒利用一個或多個網絡服務,則禁用或禁止訪問這些服務直至補丁出現.
3.始終保證你的系統安裝了最新的補丁,特別是當你的電腦是服務器時.
4.增強系統密碼,盡量使用復雜的密碼.
查毒步驟:
1.終止病毒進程
Windows NT/2000/XP中,按Ctrl+Alt+Delete,點擊任務管理器,選擇進程標簽,雙擊映像名稱列來讓進程按字母排序.
查找以下進程:avserve2.exe *****_up.exe(*****為4或5位數,例如74354_up.exe).如果發現則終止這些進程.
2.禁用系統還原(Windows XP)
如果你使用Windows XP,強烈建議你暫時關閉系統還原.
(如果你確認已經殺掉了病毒,你可以重新啟用系統還原功能)
3.安裝微軟補丁KB837001,KB828741,KB835732
(包含windows2000.xp.2003相關中英文關鍵更新)
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相關/Sasser專區/微軟補丁/
ftp://202.115.48.253/Sasser專區/微軟補丁/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser專區/微軟補丁/
或使用望江樓Windows在線更新,http://202.115.32.69/,具體操作見頁面介紹.
xp補丁安裝過程中提示語言不同的問題,請前往病毒版查看[補丁與系統語言包不同解決]一文,或在以上三個FTP的Sasser專區根目錄下下載該文文檔.
3.升級殺毒軟件病毒庫
如果你使用Norton,可在以從地址下載最新升級包
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相關/Sasser專區
/Norton病毒庫/
ftp://202.115.48.253/Sasser專區/Norton病毒庫/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser專區/Norton病毒庫/m
其他殺毒軟件病毒庫暫無,請自行前往相關網站下載更新
4.下載專殺工具
ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相關/Sasser專區/專殺/
ftp://202.115.48.253/Sasser專區/專殺/
ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser專區/專殺/
推薦下載使用諾頓的震蕩波專殺,文件名為FxSasser.exe.
5.查殺病毒
啟動專殺工具或殺毒軟件,選擇完整系統掃描進行查殺.如果任何文件被查處感染了W32.Sasser.D病毒,刪除之.
6.修改注冊表(建議你在修改注冊表之前備份一下)
開始-->運行-->regedit
選擇HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵,在右側的框中找到"skynetave.exe"="%Windir%\skynetave
| 
