新蠕蟲危險(xiǎn)程度升高 可搖控受駭電腦
「WORM_SASSER」 殺手病毒危害等級升高,入侵防御公司Network Assocoates今(4)日宣布McAfee AVERT (防毒緊急回應(yīng)小組) 發(fā)布W32/Sasser.worm.b 蠕蟲為中度風(fēng)險(xiǎn)。趨勢科技更將危險(xiǎn)程度定為高度紅色病毒警戒。
本文引用地址:http://butianyuan.cn/article/182717.htm該公司指出,這只自我執(zhí)行的蠕蟲會攻擊Microsoft Windows的弱點(diǎn) [MS04-11 弱點(diǎn) (CAN-2003-0533)]。該蠕蟲透過avserve2.exe擋案形式散布,但與最近出現(xiàn)的蠕蟲不同的是,該蠕蟲并不透過電子郵件散布,即使使用者不做任何事情也會受到感染或散布病毒 (藉由攻擊微軟作業(yè)系統(tǒng)漏洞)。該蠕蟲會搖控受駭?shù)碾娔X自動下載并執(zhí)行危險(xiǎn)的程式碼。由於在全球擴(kuò)散的趨勢逐漸升高,因此評定為中度風(fēng)險(xiǎn)。
該病毒的中毒徵狀是會將自己寫入到Windows目錄下的avserve2.exe,并建立下列機(jī)碼以在電腦開機(jī)時(shí)載入自己:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun "avserve2.exe" = C:WINDOWSavserve2.exe
蠕蟲會監(jiān)聽TCP 1068往後的埠,掃描其上的隨機(jī)IP位址,它也會在TCP 埠5554上扮演FTP伺服器,并會在TCP埠9996建立一個遠(yuǎn)端殼層。此外會在C:磁碟機(jī)下建立一個win2.log的檔案,里面記錄受駭主機(jī)的IP位址。并會將自己寫入到Windows目錄下,名稱使用 #_up.exe,如:
c:WINDOWSsystem3211583_up.exe
c:WINDOWSsystem3216913_up.exe
c:WINDOWSsystem3229739_up.exe
此外可能會導(dǎo)致LSASS.EXE毀壞,而系統(tǒng)將自行重新啟動。
防毒產(chǎn)品的使用者應(yīng)該立刻更新系統(tǒng)的DAT檔,以防御可能的攻擊。若想手動移除此一病毒,請依下列方式進(jìn)行:
1. 重新開機(jī)到安全模式 (開機(jī)時(shí)按F8鍵),然後由WINDOWS目錄下刪除AVSERVE2.EXE (一般為c:windows或c:winnt)。
2. 刪除以下登錄檔的”avserve2”機(jī)碼:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
3. 重新啟動電腦至正常模式。
至於受到感染的系統(tǒng),必須安裝Microsoft發(fā)布的系統(tǒng)更新後才能完全關(guān)閉此弱點(diǎn):
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
本文由 CTIMES 同意轉(zhuǎn)載,原文鏈接:http://www.ctimes.com.tw/DispCols/cn/VIRUS/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/040504164406.shtmll
評論