嘉定都市网
标题:
利用LSASS漏洞传播的病毒资料!
[打印本页]
作者:
莫尼卡
时间:
2004-5-2 09:35
标题:
利用LSASS漏洞传播的病毒资料!
也就是这几天大家提到过的某服务发生错误导致系统重启的问题……看看以下由 Symantec 公布的病毒资料吧目前似乎对该病毒技术细节不是十分清楚。昨天发的没人看重发一下。今天早上 Symantec 又发现了该病毒的新变种,具体特征是更改了文件名和攻击端口,还在程序中增加了互斥体仅允许一个病毒实例运行!使用AbortSystemShutdown API 函数使系统崩溃或自动重新启动。新变种的名称为:W32.Sasser.B.Worm 长度为 15872 字节蠕虫本身的 MD5 效验值为:0x1A2C0E6130850F8FD9B9B5309413CD00 病毒体名称为:avserve2.exe 添加如下的注册表键值:HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\\"avserve2.exe\"=\"%Windir%\\avserve2.exe\" 自动在被感染系统上的 Tcp 端口 5554 开启 FTP 服务。
我翻译了下病毒信息~大家看看吧:
W32.Sasser 是一种尝试利用 MS04-011 漏洞发送破坏代码的蠕虫。
蠕虫将感染被扫描到的随机 IP 地址的含有漏洞的计算机。
如果存在下列任意文件那么就是被感染的迹象:
%windows%\\avserve.exe
蠕冲将添加下列键值之一:
\"avserve.exe\"=%windows%\\avserve.exe
到注册表键值:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
蠕虫将打开 FTP 端口 5554, 并且扫描随机 IP 地址的薄弱计算机。
赛门铁克安全响应中心会继续分析蠕虫并且将会在有可用信息时更新此页面。
--------------------------------------------------------------------------------
说明: 紧急公布病毒免疫, 版本 30/04/04 rev 70 (20040430.070) 或更高的版本, 能检测到此威胁。
--------------------------------------------------------------------------------
也被称为: W32/Sasser.worm [McAfee]
Type: 蠕虫
感染长度: 15872
受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
不受影响的系统: Linux, Macintosh, Novell Netware, OS/2, UNIX
测试病毒定义
May 01, 2004
病毒定义 (智能更新) *
May 01, 2004
病毒定义 (在线更新™) **
May 01, 2004
*
智能更新会每天公布, 但是必须手动更新和安装。
**
在线更新通常在每个星期三公布。
广度:
传染数量: 50 - 999
传染区域: 3 - 9
地域广度: 低
威胁拦截: 容易
移除: 容易
威胁特征
广度:
中
破坏:
中
分布:
高
损害
最大载荷: n/a
有效载荷: n/a
大范围传送电子邮件: n/a
删除文件: n/a
修改文件: n/a
退化行为: n/a
使系统不稳定: n/a
泄露机密信息: n/a
危及安全设置: n/a
分布
电子邮件主题: n/a
附件名称: n/a
附件长度: n/a
附件时间戳: n/a
端口: n/a
共享驱动器: n/a
传染目标: n/a
现在没有补充信息。 赛门铁克安全响应中心会有可用信息时更新此页面。
此贴由 莫尼卡 在 2004-05-02 09:38:05 最后编辑
欢迎光临 嘉定都市网 (http://www.jiading.com.cn/)
Powered by Discuz! X3.1