您现在的位置: 首页 > 病毒库 > 蠕虫病毒
蠕虫病毒Win32.Sasser.A
发布时间:2004-05-01 17:51:00
病毒名称:蠕虫病毒Win32.Sasser.A
其它名称:Win32.Sasser!FTP, W32/Sasser.A (F-Secure), WORM_SASSER.A (Trend), Bat/Sasser.A.Componenet.Trojan, Win32/Sasser.Worm, W32/Sasser.worm (McAfee), W32.Sasser.Worm (Symantec), Worm.Win32.Sasser.a (Kaspersky)
病毒属性:蠕虫病毒 危害性:高危害 流行程度:
具体介绍:

病毒特征:Win32.Sasser.A是一个通过Windows 2000, XP and 2003 server的系统漏洞(ms04-001)传播的蠕虫病毒,病毒文件长度为15,872字节。
感染方式
病毒文件执行后,Sasser.A将自身复制到:%Windows%\avserve.exe 目录。之后修改注册表,以便系统启动时自动执行:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
avserve.exe = "%Windows%\avserve.exe"
传播方式
Sasser.A会使用TCP 445端口随机扫描ip地址。如果连接成功,将试图利用"Microsoft Windows LSASS buffer overflow vulnerability" 进行传播。

微软提供的此漏洞补丁地址:
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

病毒利用这个漏洞在远程机器上建立一个ftp脚本(cmd.ftp)在系统目录中。病毒使用ftp服务在被感染的机器上,利用端口5554,之后通过ftp.exe执行病毒生成的脚本将病毒文件传输过去并执行。传输的病毒文件将放置在系统目录中,文件名是"随机数字_up.exe"

例如:
C:\WINDOWS\system32\12756_up.exe
C:\WINDOWS\system32\10831_up.exe

受到感染的机器的 LSASS 服务可能会终止,并会显示如下提示:


病毒在进行端口扫描时会产生大量的线程,并且将扫描的IP地址记录到染毒机器的c:\win.log文件中。

附:Sasser病毒的专用清除工具:Clnsasser.zip。>>下载

清除:

Kill 安全胄甲InoculateIT 23.65.3,Vet 11.x/8310 版本可检查/清除此病毒。

kill版本: