“震荡波”变种F病毒

病毒信息：

病毒名称: Worm.Sasser.f

中文名称: 震荡波变种 E

病毒长度: 74,752 位元组

威胁级别: 3A

病毒类型: 蠕虫

病毒别名: W32.Sasser.f.Worm[Symantec]

受影响系统: Windows 2000, Windows XP, Windows 2003

· 堵塞网路。病毒的攻击行为可让系统不停的倒计时重启；

· 和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器

下载特定档案并运行，来达到感染的目的。

传染条件：该自运行的蠕虫通过使用 Windows 的一个漏洞来传播 [MS04-011 vulnerability

(CAN-2003-0907)]

系统修改：

A 、将自身複製到 %SystemRoot%\\\\napatch.exe ( 通常为 C:\\\\WinNT\\\\ 或 C:\\\\Windows)

B 、在注册表主键：

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

下添加如下键值 :

"napatch.exe" = %SystemRoot%\\\\napatch.exe

B 、拷贝其本身至系统目录：

%System%\\\\<5 位随机数字 >_up.exe

C 、在 C 盘根目录创建以下档案：

C:\\\\win2.log( 该档案用以记录本地主机的 IP 地址 )

D 、使用 AbortSystemShutdown API 来防止系统重启或关机。

E 、它开启 TCP 连线埠 5554 来建立一个 FTP 伺服器，用来当作感染其他机器的伺服器。

F 、通过 TCP445 连线埠扫描随机的 IP 地址，当连线成功时，被感染的计算机向被连线机器发动溢出攻击，被攻击的计算机将会自动连线被感染计算机的 5554 连线埠并通过 FTP 下载蠕虫的副本，名称一般为 4 到 5 个数字加上 "_up" 的组合，如 (78456_up.exe).

G 、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致 LSASS.EXE 的崩溃，当 LSASS.EXE 崩溃时系统默认会重启。

H 、和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定档案并运行，来达到感染的目的。

档案名称为： napatch.exe

I 、创建了互斥体 billgate 用于判断是否已运行。

解决方案:

· 请升级毒霸到5月11日的病毒库可完全处理该病毒；

· 手工解决方案

首先，若系统为WinMe或WinXP，则请先关闭系统还原功能；