打印

利用 Windows LSASS 漏洞传播的病毒终于出现 —— Sasser

海色の月

C.I.S.R.T.

荣誉版主

http://www.cisrt.org

积分: 75906
威望: 105338
元宝: 0
铜钱: 482

最佳管理奖最佳潜水奖最佳教程编写奖特殊贡献奖荣誉版主

1楼大中小发表于 2004-5-1 20:54 只看该作者

利用 Windows LSASS 漏洞传播的病毒终于出现 —— Sasser

病毒描述
6 E0 |; }& y2 v5 _5 O! x7 O% l
这个蠕虫病毒利用的是一个微软操作系统的漏洞，此漏洞为Windows LSASS的一个缓冲溢出漏洞，针对此漏洞进行攻击可以使LSASS.EXE缓冲区溢出，并使得攻击者取得对目标系统的完全控制权限，详细请见MS04-011安全公告。

被攻击的系统会出现一些症状，如LSASS.EXE出乎意料地终止提示一分钟倒计时窗口；LSASS.EXE出错需要关机窗口等现象，如图：

$ V- v$ }( @* U( E* z; v; D S
病毒运行后将自身复制到系统目录%Windows%下，文件名为：avserve.exe# _5 b7 c$ t6 j

7 r+ ^: s( z; Q

并在系统注册表启动项中加入自启动项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- S! P$ L- q/ k, X: f
avserve.exe = "%Windows%\avserve.exe"

1 f9 u6 `/ m- L* E9 _* w1 S4 j" U$ ?* `
使用互斥体“Jobaka3l”来判断自身是否已经存在与系统中。
病毒开启128个线程随机IP地址寻找有漏洞的目标计算机，当发现目标计算机有此漏洞后会发送一个经过设计的数据包到目标计算机的TCP445端口，使得目标计算机中的LSASS.EXE缓冲区溢出。, I' P6 m; ~8 [
缓冲溢出后，病毒监听TCP9996端口，打开一个命令行，建立一个FTP脚本CMD.FTP，目标计算机执行这个脚本文件以XXXXX_up.exe文件名的方式通过FTP方式从被感染计算机系统上的TCP5554端口下载病毒文件到本地运行。
病毒被下载后，CMD.FTP文件将被删除，一个记录了被感染计算机台数和上一个被感染计算机的IP地址的文件WIN.LOG保存在系统根目录下。
% T# f) I4 I( N; p/ f8 i
/ v- i6 I9 U' L1 V2 l8 `
清除病毒

请用户及时更新反病毒软件病毒库，目前各大反病毒厂商都已经将其加入到自己的病毒库文件中，及时地升级病毒库文件可以有效地防止这个病毒的入侵。

结束病毒进程- o& e7 M) _2 Y' p6 I
同时按下Ctrl+Alt+Del，打开“任务管理器”
选择病毒进程，比如AVSERVE.EXE，然后按下“结束任务”按钮将其进程结束，接下来再将这些病毒文件删除。
! K, B3 y. z+ C, @5 k6 z8 p3 G# p
删除注册表中病毒键值4 U2 @) u) |% E2 S, n- e
打开“注册表编辑器”，“开始”>>“运行”，输入REGEDIT，“确定”。
删除以下项目：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
avserve.exe = "%Windows%\avserve.exe") n) a' }8 ^8 B3 `3 a, Y4 I

安装补丁程序" a* D7 N/ w& j5 i
# y7 j9 ^5 [# B" E2 Y
请Windows NT / 2000 / XP / 2003用户安装MS04-011安全公告中所提到的安全补丁，并建议使用Windows Update安装系统所需要安装的所有关键更新和Service Pack。

[最后由海色の月在 2004-5-2 10:20 修改]

海色の月
---------------------------
Email:
amezhs@cisrt.org
amezhs@cisrt.com

http://www.cisrt.org
---------------------------