关于利用MS04-011漏洞制作的病毒信息

莫尼卡

也就是这几天大家提到过的某服务发生错误导致系统重启的问题……看看以下由 Symantec 公布的病毒资料吧目前似乎对该病毒技术细节不是十分清楚。

我翻译了下病毒信息~大家看看吧：

W32.Sasser 是一种尝试利用 MS04-011 漏洞发送破坏代码的蠕虫。

蠕虫将感染被扫描到的随机 IP 地址的含有漏洞的计算机。

如果存在下列任意文件那么就是被感染的迹象:
%windows%\\avserve.exe

蠕冲将添加下列键值之一:
\"avserve.exe\"=%windows%\\avserve.exe

到注册表键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

蠕虫将打开 FTP 端口 5554, 并且扫描随机 IP 地址的薄弱计算机。

赛门铁克安全响应中心会继续分析蠕虫并且将会在有可用信息时更新此页面。




--------------------------------------------------------------------------------
说明: 紧急公布病毒免疫, 版本 30/04/04 rev 70 (20040430.070) 或更高的版本, 能检测到此威胁。
--------------------------------------------------------------------------------


也被称为:  W32/Sasser.worm [McAfee]
  
Type:  蠕虫
感染长度:  15872
  
  
  
受影响的系统:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
不受影响的系统:  Linux, Macintosh, Novell Netware, OS/2, UNIX
  
测试病毒定义
May 01, 2004


病毒定义 (智能更新) *
May 01, 2004


病毒定义 (在线更新™) **
May 01, 2004


*
智能更新会每天公布, 但是必须手动更新和安装。
**
在线更新通常在每个星期三公布。

广度:

传染数量: 50 - 999
传染区域: 3 - 9
地域广度: 低
威胁拦截: 容易
移除: 容易
威胁特征

         
广度:
中
破坏:
中
分布:
高



损害

最大载荷: n/a
有效载荷: n/a
大范围传送电子邮件: n/a
删除文件: n/a
修改文件: n/a
退化行为: n/a
使系统不稳定: n/a
泄露机密信息: n/a
危及安全设置: n/a
分布

电子邮件主题: n/a
附件名称: n/a
附件长度: n/a
附件时间戳: n/a
端口: n/a
共享驱动器: n/a
传染目标: n/a

现在没有补充信息。 赛门铁克安全响应中心会有可用信息时更新此页面。       

此贴由 莫尼卡 在 2004-05-01 19:36:06 最后编辑

Trulli

谢谢楼主