别名：WORM_SASSER.B [Trend],W32/Sasser.worm.b [McAfee],Worm.Win32.Sasser.b [Kaspersky,W32/Sasser-B [Sophos],Win32.Sasser.B [Computer Assoc,Sasser.B [F-Secure],W32/Sasser.B.worm [Panda],Win32/Sasser.B.worm [RAV],W32/Sasser.B [F-Prot]

感染长度：15,872 bytes

受感染的系统：Windows 2000,Windows XP

CVE 参考：CAN-2003-0533

W32.Sasser.B.Worm 是 W32.Sasser.Worm 的变种。它会尝试探测 MS04-011 漏洞的蠕虫 （如 Microsoft 安全公告 MS04-011档案中介绍）。它会藉由扫描随机选取的 IP 地址，进而散布至未防护的系统上。

W32.Sasser.B.Worm 和 W32.Sasser.Worm 的不同之处是，W32.Sasser.B.Worm 会：

* 使用不同 Mutex：Jobaka3。

* 使用不同档案名称称：avserve2.exe。

* 有不同 MD5 散列值。

* 在注册表键内加入不同的值：“avserve2.exe”。

注意：

* 蠕虫它具有一个 MD5 散列值 0x1A2C0E6130850F8FD9B9B5309413CD00。

* Symantec 安全回响中心已开发出可清除 W32.Sasser.B.Worm 感染的防毒工具。

* 拦截广域防火墙的 TCP 埠 5554、9996 及 445 并安装适当的 Microsoft 修正程式 (MS04-011） 即可避免遭受远程探测系统的漏洞。

W32.Sasser.B.Worm 可在 Windows 95/98/Me 的计算机上执行 （但无法加以感染）。虽然这些作业系统不会受到感染，但它们仍会被用来连线至未防护的系统并加以感染。在这种情况下，该蠕虫将浪费大量资源，因而使程式无法正确执行，包括我们的防毒工具。(在 Windows 95/98/Me 的计算机漫上，防毒工具应该在「安全模式」下执行。）

由于提交率的提高，Symantec 安全回响中心已将 W32.Sasser.B.Worm 的威胁级别从 3 级升级为 4 级。

* 病毒定义（每周 LiveUpdate™） 2004 年 5 月 1 日

* 病毒定义（智慧型更新程式） 2004 年 5 月 1 日

* 广度级别：Medium

* 感染数量：More than 1000

* 站点数量：More than 10

* 地理位置分布：High

* 威胁抑制：Easy

* 清除：Moderate

* 损坏级别：Low

* 降低性能：Causes significant performance degradation.

* 分发级别：High

* 连线埠：TCP 445,5554,9996

* 感染目标：Unpatched systems vulnerable to LSASS exploit - MS04-011.

W32.Sasser.B.Worm 运行时会执行下列操作：

⒈ 尝试创建一个名为 JumpallsNlsTillt 的 Mutex 并在尝试失败时退出。这样可确保任何时候计算机上都只有一个蠕虫在执行。

⒉ 尝试创建一个名为 Jobaka3 的互斥体。此互斥体无明显用途。

⒊ 将自己複製为 %Windir%\Avserve2.exe。

注意： %Windir% 是一个变数。该蠕虫会找到 Windows 安装资料夹（默认为 C:\Windows 或 C:\Winnt），然后将自身複製到其中。

⒋ 增下列值：

"avserve2.exe"="%Windir%\avserve2.exe"

加入注册表键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此，当您启动 Windows 时，蠕虫就会执行。

⒌ 使用 AbortSystemShutdown API 来妨碍试图关闭或重新启动计算机的动作。

⒍ 在 TCP 埠 5554 上启动 FTP 伺服器。该伺服器是用来将蠕虫传播至其它主机上。

⒏ 由蠕虫产生之 IP 地址，其散布方式如下：

* 52% 完全是随机的

* 23% 八位位元组的最后3个数字为随机数目

* 25% 八位位元组的最后2个数字为随机数目

注意：

* 八位位元组是 IP 地址的8个位。例如：如果 A.B.C.D. 是一个 IP 地址，那 A 就是第1个八位位元组，B 就是第2个，C 就是第3个，D 就是第4个。

* 因为此蠕虫会建立随机 IP 地址，任何 IP 地址範围都有可能被感染。

* 蠕虫会启动 128 个执行绪以扫描随机选取的 IP 地址。这样将会占用大量 CPU 时间，因而导致受感染的计算机几乎无法使用。

⒐ 试图通过 TCP 埠 445 连线至随机产生的 IP 地址，以检测远程计算机是否在线上中。

⒑ 如果成功与计算机建立在线上，该蠕虫便会传送 shellcode 至该计算机上，使其在 TCP 埠 9996 上执行远程的 Shell。

⒒ 然后，蠕虫会使用该 Shell 使计算机通过连线埠5554 连线至 FTP 伺服器并撷取蠕虫的副本。这个副本的名称包含 4 或 5 位数，然后接着 _up.exe （例如 74354_up.exe）。

⒓ 在蠕虫尝试探测 LSASS 漏洞后，会导致 Lsass.exe 程式当机。Windows 将会在显示警讯后关机一分钟。

⒔ 在最近感染和其它受感染的计算机 IP 地址上的 C:\win2.log 创建一个档案。

Symantec Gateway Security 5400 系列以及 Symantec Gateway Security v1.0

* 防病毒组件：Symantec Gateway Security AntiVirus 引擎的更新程式目前已可供下载，能防护 W32.Sasser.B.Worm 的威胁。建议 Symantec Gateway Security 5000 系列的用户运行 LiveUpdate。

* IDS/IPS 组件：Symantec Gateway Security 5400 系列可侦测针对 Microsoft LSASS 漏洞攻击的攻击特徵已包含在 4 月 14 日发行的 SU 8 中。在 SGS v1.0 上侦测针对 Microsoft LSASS 漏洞攻击的攻击特徵已经发行。建议 Symantec Gateway Security 5000 系列的用户执行 LiveUpdate。

* 全面的应用程式检查防火墙组件：默认情况下，Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996）。建议系统管理员验证安全策略不允许通信连线埠的入站通信通过。

Symantec Enterprise Firewall 8.0

默认情况下，Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996）。建议系统管理员验证安全策略不允许通信连线埠的入站通信通过。

Symantec Enterprise FIrewall 7.0.x 和 Symantec VelociRaptor 1.5

默认情况下，Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996）。建议系统管理员验证安全策略不允许通信连线埠的入站通信通过。

Symantec Clientless VPN Gateway 4400 系列

Symantec Clientless VPN Gateway v5.0 不会受此威胁的感染。默认情况下，安全网关可以禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996）。

Symantec Gateway Security 300 系列

默认情况下，Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996）。建议系统管理员验证安全策略不允许TCP/445、TCP/5554、TCP/9996 通信连线埠的入站通信通过。请使用 SGS 300系列的 AVpe 功能，以确保所有AntiVirus 客户端有最新病毒定义。

Symantec Firewall/VPN 100/200 系列

默认情况下，Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵，并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996）。

Symantec Host IDS 4.1/4.1.1

Symantec Host IDS 4.1/4.1.1 针对此蠕虫以及所有已知变异体的防护可透过 Live Update 获得。

Intruder Alert 3.6

Symantec 已发行的 Intruder Aler 3.6 W32_Sasser_Worm.pol 将侦测此蠕虫。

Symantec ManHunt

2004 年 4 月 13 日发行的 Security Update 22 可使用 “Microsoft RPC LSASS DS Request” 攻击特徵来侦测所有尝试探测 LSASS 漏洞的行为。因此，当 W32.Sasser.B.Worm 发行时，Symantec ManHunt 的客户会受到初始漏洞防护的保护。

Symantec Client Security

Symantec 已发行 Symantec Client Security 1.x 及 2.0 的修补程式，可利用感染尝试中出现的 MS_Windows_LSASS_RPC_DS_Request 攻击特徵，识别出 LSASS 探测。如果 Sasser 蠕虫应用程式已存在系统上，则使用默认防火墙策略的所有 Symantec Client Security 版本都会在它试图启动 FTP 伺服器并传播出站数据连线埠时，提示用户“允许/禁止/配置规则”。能防护蠕虫的病毒定义档案可于 2004 年 5 月 1 日透过 LiveUpdate 或 Intelligent Updater 获得。

Symantec NetRecon

2004 年 5 月 4 日公布的 Symantec NetRecon Update 17 可侦测并报告 LSASS 漏洞。

赛门铁克安全回响中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多作业系统会安装不必要的辅助服务，如 FTP 伺服器、telnet 和 Web 伺服器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程式更新即可完成。

* 如果混合型威胁攻击了一个或多个网路服务，则在套用补丁程式之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程式，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）.. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时套用。

* 强制执行密码策略。複杂的密码使得受感染计算机上的密码档案难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件伺服器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附属档案的邮件，这些档案常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附属档案。并且只在进行病毒扫描后才执行从网际网路下载的软体。如果未对某些浏览器漏洞套用补丁程式，那幺访问受感染的网站也会造成病毒感染。

使用 W32.Sasser 防毒工具防毒

Symantec 安全回响中心开发了一种防毒工具，可用来清除 W32.Sasser.B.Worm 感染。这是消除此威胁最简易的方法，请先使用此方法防毒。

手动防毒

以下指导适用于所有当前和最新的赛门铁克防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

⒈ 结束恶意程式 (Windows NT/2000/XP）。

⒉ 关闭「系统还原」（Windows XP）。

⒊ 更新病毒定义档案。

⒋ 执行完整的系统扫描，并修复所有侦测到的 W32.Sasser.B.Worm档案。

⒌ 还原对注册表所做的更改。

如需关于这些步骤的详细信息，请阅读下列指示。

⒈ 结束恶意程式

注意 : Windows NT/2000/XP 的用户必须先结束恶意程式。

⒈ 单击 “Ctrl+Alt+Delete”。

⒉ 单击"任务管理器"。

⒊ 单击 “进程” 选项卡。

⒋ 双击 “映像名称” 列标题，按字母顺序对进行排序。

⒌ 滚动列表并查找以下程式：

* avserve2.exe

* 任何程式的名称包含 4 或 5 位数，后接着 _up.exe （例如 74354_up.exe）。

⒍ 如果您找到任何类似的程式，请单击它并单击"结束进程"。

⒎ 结束"任务管理器"。

⒉ 禁用系统还原（Windows XP）

如果您运行的是 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的档案被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程式在内的外部程式修改系统还原。因此，防病毒程式或工具无法删除 System Restore 资料夹中的威胁。这样，系统还原就可能将受感染档案还原到计算机上，即使您已经清除了所有其他位置的受感染档案。

此外，病毒扫描可能还会检测到 System Restore 资料夹中的威胁，即使您已将该威胁删除。

有关如何关闭系统还原功能的指导，请参阅 Windows 文档或文章：如何禁用或启用 Windows XP 系统还原。

注意：蠕虫移除乾净后，请按照上述文章所述恢复系统还原的设定。

⒊ 更新病毒定义

赛门铁克安全回响中心在我们的伺服器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 伺服器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate）。

* 使用智慧型更新程式下载病毒定义：智慧型更新程式病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从赛门铁克安全回响中心网站下载病毒定义并手动进行安装。要确定是否可通过智慧型更新程式获取此威胁的定义，请参考病毒定义（智慧型更新程式）。

现在提供智慧型更新程式病毒定义：有关详细说明，请参阅如何使用智慧型更新程式更新病毒定义档案。

⒋ 扫描和删除受感染档案

⒈ 启动 Symantec 防病毒程式，并确保已将其配置为扫描所有档案。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有档案。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设定为扫描所有档案。

⒉ 运行完整的系统扫描。

⒊ 如果检测到任何档案被 W32.Sasser.B.Worm 感染，请单击“删除”。

⒌ 还原对注册表所做的更改

注意：对系统注册表进行任何修改之前，赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示，请阅读「如何备份 Windows 注册表」档案。

⒈ 单击“开始”，然后单击“运行”。（将出现“运行”对话框。）

⒉ 键入 regedit 然后单击“确定”。（将打开注册表编辑器。）

⒊ 导航至以下键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

⒋ 在右窗格中，删除值：

"avserve2.exe"="%Windir%\avserve2.exe"

⒌ 退出注册表编辑器。

描述者：Heather Shannon