娛樂滿紛 26FUN - Powered by Discuz! Board

※振荡波专题※

W32.Sasser.Worm以及其变种W32.Sasser.[B-F].Worm是一类利用微软安全公告MS04-011中

描述的LSASS漏洞进行攻击的蠕虫病毒，它通过扫描随机选择的IP地址进行传播.(其中变种

G以更名为变种E,ft).

影响系统:Windows2000,WindowsXP

[A-C,E,F]变种不感染Windows95/98/Me但是可在其上执行并传染其它计算机，

[D]变种只能运行于WindowsXP但是可以入侵Windows2000但不执行。

病毒简介:

1.将病毒自身复制到%WinDir%\avservefilter-031[W32.Sasser.Worm]

%WinDir%\avserve2filter-031[W32.Sasser.B/C.Worm]

%WinDir%\skynetavefilter-031[W32.Sasser.D]

%WinDir%\lsasssfilter-031[W32.Sasser.E.Worm]

%WinDir%\napatchfilter-031[W32.Sasser.F.Worm]

其中%WinDir%代表Windows2000系统的WINNT目录或WindowsXP系统的WINDOWS目录；

2.在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

位置添加键值

"avservefilter-031"="%Windir%\avservefilter-031"[W32.Sasser.Worm]

"avserve2filter-031"="%Windir%\avserve2filter-031"[W32.Sasser.B/C.Worm]

"skynetavefilter-031"="%Windir%\skynetavefilter-031"[W32.Sasser.D]

"lsasssfilter-031"="%Windir%\lsasssfilter-031"[W32.Sasser.E.Worm]

"napatchfilter-031"="%Windir%\napatchfilter-031"[W32.Sasser.F.Worm]

3.利用系统的API接口AbortSystemShutdown使计算机出现倒计时关机或者重新启动，

可能会遇到LSAShell错误或者lsass错误的提示；

变种E在激活后的2小时内每秒钟调用一次系统关机，并出现含有下列文本的消息：

1.YourcomputerisaffectedbytheMS04-011vulnerability

2.Itcanbethatdangerouscomputervirusessimilar

theBlasterworminfectyourcomputer

3.PleaseupdateyourcomputerwiththeMS04-011LSASSpatch

fromthewww.microsoft.comwebsite

4.ThisisanmessagefromtheSkyNetTeamfor

maliciousactivityprevention

4.在系统的TCP端口5554[A-D,F]/1023[E]开启一个FTP服务；

5.该病毒会试图连接随机生成的IP地址的计算机的TCP端口445，如果成功建立连接，

病毒会通过代码使远程计算机在TCP端口9996[A,B,C,F]/9995[D]/1022[E]运行一个

远程应用程序，连接回本地已开启的FTP获取该病毒的一个副本并执行，这个病毒

的副本具有

"*_upfilter-031"[A-D,F]

"*_updatefilter-031"[E]

的形式，其中*代表介于1000和99999之间的数字；

6.在C盘根目录下生成

win.log[A]

win2.log[B-D,F]

ftplog.txt[E]

其中含有最近扫描的IP和已感染计算机数。

解决方法(杀毒前请先断网):

若系统不断提示60s关机,可通过"开始-->运行-->输入`shutdown-a`-->回车"强制取消

系统关机再执行以下步骤.

1.终止病毒进程WindowsNT/2000/XP中,按Ctrl+Alt+Delete,点击任务管理器,选择进

程标签,双击映像名称列来让进程按字母排序.查找以下进程avservefilter-031；avser

ve2filter-031；skynetavefilter-031；lsasssfilter-031；napatchfilter-031；*_upfilter-031；*_updatefilter-031

进程；如果发现则终止这些进程.

2.禁用系统还原(WindowsXP)

如果你使用WindowsXP,强烈建议你暂时关闭系统还原.

(如果你确认已经杀掉了病毒,你可以重新启用系统还原功能)

3.安装微软补丁KB837001,KB828741,KB835732

(包含windows2000.xp.2003相关中英文关键更新)

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/微软

补丁/

ftp://202.115.48.253/Sasser专区/微软补丁/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/微软补丁/

或使用望江楼Windows在线更新,http://202.115.32.69/,具体操作见页面介绍.

xp补丁安装过程中提示语言不同的问题,请在病毒版查看[补丁与系统语言包不同解

决]一文,或在以上三个FTP的Sasser专区根目录下下载该文文档.或者xp的话可在以上

3个ftp相应目录下载免语言检查版本补丁

4.升级杀毒软件病毒库

如果你使用Norton,可在以从地址下载最新升级包

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区

/Norton病毒库/

ftp://202.115.48.253/Sasser专区/Norton病毒库/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/Norton病毒库/m

其他杀毒软件病毒库暂无，请自行前往相关网站下载更新

5.下载专杀工具

ftp://202.115.32.30/incoming/NewSoftware_incoming/病毒相关/Sasser专区/专

杀/

ftp://202.115.48.253/Sasser专区/专杀/

ftp://211.83.157.65/Pub/Software/AntiVirus/Sasser专区/专杀/

推荐下载使用诺顿的震荡波专杀,文件名为FxSasserfilter-031.

6.查杀病毒

启动专杀工具或杀毒软件,选择完整系统扫描进行查杀.如果任何文件被查处感染了W3

2.Sasser病毒,删除之.

7.修改注册表(建议你在修改注册表之前备份一下)

开始-->运行-->regedit

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

位置下的

"avservefilter-031"="%Windir%\avservefilter-031"

"avserve2filter-031"="%Windir%\avserve2filter-031"

"skynetavefilter-031"="%Windir%\skynetavefilter-031"5个中只会有1个,对应相应变种

"lsasssfilter-031"="%Windir%\lsasssfilter-031"

"napatchfilter-031"="%Windir%\napatchfilter-031"