新蠕虫危险程度升高可摇控受骇电脑

作者：欧敏铨时间：2004-05-04来源：CTIMES收藏

「WORM_SASSER」杀手病毒危害等级升高，入侵防御公司Network Assocoates今(4)日宣布McAfee AVERT (防毒紧急回应小组) 发布W32/Sasser.worm.b 蠕虫为中度风险。趋势科技更将危险程度定为高度红色病毒警戒。

本文引用地址：http://www.eepw.com.cn/article/182717.htm

该公司指出，这只自我执行的蠕虫会攻击Microsoft Windows的弱点 [MS04-11 弱点 (CAN-2003-0533)]。该蠕虫透过avserve2.exe挡案形式散布，但与最近出现的蠕虫不同的是，该蠕虫并不透过电子邮件散布，即使使用者不做任何事情也会受到感染或散布病毒 (藉由攻击微软作业系统漏洞)。该蠕虫会摇控受骇的电脑自动下载并执行危险的程式码。由於在全球扩散的趋势逐渐升高，因此评定为中度风险。

该病毒的中毒徵状是会将自己写入到Windows目录下的avserve2.exe，并建立下列机码以在电脑开机时载入自己：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun "avserve2.exe" = C:WINDOWSavserve2.exe

蠕虫会监听TCP 1068往後的埠，扫描其上的随机IP位址，它也会在TCP 埠5554上扮演FTP伺服器，并会在TCP埠9996建立一个远端壳层。此外会在C:磁碟机下建立一个win2.log的档案，里面记录受骇主机的IP位址。并会将自己写入到Windows目录下，名称使用 #_up.exe，如：

c:WINDOWSsystem3211583_up.exe

c:WINDOWSsystem3216913_up.exe

c:WINDOWSsystem3229739_up.exe

此外可能会导致LSASS.EXE毁坏，而系统将自行重新启动。

防毒产品的使用者应该立刻更新系统的DAT档，以防御可能的攻击。若想手动移除此一病毒，请依下列方式进行：

1. 重新开机到安全模式 (开机时按F8键)，然後由WINDOWS目录下删除AVSERVE2.EXE (一般为c:windows或c:winnt)。

2. 删除以下登录档的”avserve2”机码：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun