W32.Sasser.B.Worm【W32.Sasser.B.Worm】W32.Sasser.B.Worm是一款病毒,受感染的系统:Windows 2000,Windows XP 。
基本介绍中文名:震荡波变种B
外文名:W32.Sasser.B.Worm
发现:2004 年 5 月 1 日
更新:2007 年 2 月 13 日 12:24:54 PM
类型: Worm
概要别名:WORM_SASSER.B [Trend],W32/Sasser.worm.b [McAfee],Worm.Win32.Sasser.b [Kaspersky,W32/Sasser-B [Sophos],Win32.Sasser.B [Computer Assoc,Sasser.B [F-Secure],W32/Sasser.B.worm [Panda],Win32/Sasser.B.worm [RAV],W32/Sasser.B [F-Prot]感染长度:15,872 bytes受感染的系统:Windows 2000,Windows XPCVE 参考:CAN-2003-0533W32.Sasser.B.Worm 是 W32.Sasser.Worm 的变种 。它会尝试探测 MS04-011 漏洞的蠕虫 (如 Microsoft 安全公告 MS04-011档案中介绍) 。它会藉由扫描随机选取的 IP 地址,进而散布至未防护的系统上 。W32.Sasser.B.Worm 和 W32.Sasser.Worm 的不同之处是,W32.Sasser.B.Worm 会:* 使用不同 Mutex:Jobaka3 。* 使用不同档案名称称:avserve2.exe 。* 有不同 MD5 散列值 。* 在注册表键内加入不同的值:“avserve2.exe” 。注意:* 蠕虫它具有一个 MD5 散列值 0x1A2C0E6130850F8FD9B9B5309413CD00 。* Symantec 安全回响中心已开发出可清除 W32.Sasser.B.Worm 感染的防毒工具 。* 拦截广域防火墙的 TCP 埠 5554、9996 及 445 并安装适当的 Microsoft 修正程式 (MS04-011) 即可避免遭受远程探测系统的漏洞 。W32.Sasser.B.Worm 可在 Windows 95/98/Me 的计算机上执行 (但无法加以感染) 。虽然这些作业系统不会受到感染,但它们仍会被用来连线至未防护的系统并加以感染 。在这种情况下,该蠕虫将浪费大量资源,因而使程式无法正确执行,包括我们的防毒工具 。(在 Windows 95/98/Me 的计算机漫上,防毒工具应该在「安全模式」下执行 。)由于提交率的提高,Symantec 安全回响中心已将 W32.Sasser.B.Worm 的威胁级别从 3 级升级为 4 级 。防护* 病毒定义(每周 LiveUpdate?) 2004 年 5 月 1 日* 病毒定义(智慧型更新程式) 2004 年 5 月 1 日威胁评估广度* 广度级别:Medium* 感染数量:More than 1000* 站点数量:More than 10* 地理位置分布:High* 威胁抑制:Easy* 清除:Moderate损坏* 损坏级别:Low* 降低性能:Causes significant performance degradation.分发* 分发级别:High* 连线埠:TCP 445,5554,9996* 感染目标:Unpatched systems vulnerable to LSASS exploit - MS04-011.W32.Sasser.B.Worm 运行时会执行下列操作:⒈ 尝试创建一个名为 JumpallsNlsTillt 的 Mutex 并在尝试失败时退出 。这样可确保任何时候计算机上都只有一个蠕虫在执行 。⒉ 尝试创建一个名为 Jobaka3 的互斥体 。此互斥体无明显用途 。⒊ 将自己複製为 %Windir%\Avserve2.exe 。注意: %Windir% 是一个变数 。该蠕虫会找到 Windows 安装资料夹(默认为 C:\Windows 或 C:\Winnt),然后将自身複製到其中 。⒋ 增下列值:"avserve2.exe"="%Windir%\avserve2.exe"加入注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run因此,当您启动 Windows 时,蠕虫就会执行 。⒌ 使用 AbortSystemShutdown API 来妨碍试图关闭或重新启动计算机的动作 。⒍ 在 TCP 埠 5554 上启动 FTP 伺服器 。该伺服器是用来将蠕虫传播至其它主机上 。⒏ 由蠕虫产生之 IP 地址,其散布方式如下:* 52% 完全是随机的* 23% 八位位元组的最后3个数字为随机数目* 25% 八位位元组的最后2个数字为随机数目注意:* 八位位元组是 IP 地址的8个位 。例如:如果 A.B.C.D. 是一个 IP 地址,那 A 就是第1个八位位元组,B 就是第2个,C 就是第3个,D 就是第4个 。* 因为此蠕虫会建立随机 IP 地址,任何 IP 地址範围都有可能被感染 。* 蠕虫会启动 128 个执行绪以扫描随机选取的 IP 地址 。这样将会占用大量 CPU 时间,因而导致受感染的计算机几乎无法使用 。⒐ 试图通过 TCP 埠 445 连线至随机产生的 IP 地址,以检测远程计算机是否在线上中 。⒑ 如果成功与计算机建立在线上,该蠕虫便会传送 shellcode 至该计算机上,使其在 TCP 埠 9996 上执行远程的 Shell 。⒒ 然后,蠕虫会使用该 Shell 使计算机通过连线埠5554 连线至 FTP 伺服器并撷取蠕虫的副本 。这个副本的名称包含 4 或 5 位数,然后接着 _up.exe (例如 74354_up.exe) 。⒓ 在蠕虫尝试探测 LSASS 漏洞后,会导致 Lsass.exe 程式当机 。Windows 将会在显示警讯后关机一分钟 。⒔ 在最近感染和其它受感染的计算机 IP 地址上的 C:\win2.log 创建一个档案 。Symantec Gateway Security 5400 系列以及 Symantec Gateway Security v1.0* 防病毒组件:Symantec Gateway Security AntiVirus 引擎的更新程式目前已可供下载,能防护 W32.Sasser.B.Worm 的威胁 。建议 Symantec Gateway Security 5000 系列的用户运行 LiveUpdate 。* IDS/IPS 组件:Symantec Gateway Security 5400 系列可侦测针对 Microsoft LSASS 漏洞攻击的攻击特徵已包含在 4 月 14 日发行的 SU 8 中 。在 SGS v1.0 上侦测针对 Microsoft LSASS 漏洞攻击的攻击特徵已经发行 。建议 Symantec Gateway Security 5000 系列的用户执行 LiveUpdate 。* 全面的应用程式检查防火墙组件:默认情况下,Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵,并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996) 。建议系统管理员验证安全策略不允许通信连线埠的入站通信通过 。Symantec Enterprise Firewall 8.0默认情况下,Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵,并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996) 。建议系统管理员验证安全策略不允许通信连线埠的入站通信通过 。Symantec Enterprise FIrewall 7.0.x 和 Symantec VelociRaptor 1.5默认情况下,Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵,并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996) 。建议系统管理员验证安全策略不允许通信连线埠的入站通信通过 。Symantec Clientless VPN Gateway 4400 系列Symantec Clientless VPN Gateway v5.0 不会受此威胁的感染 。默认情况下,安全网关可以禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996) 。Symantec Gateway Security 300 系列默认情况下,Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵,并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996) 。建议系统管理员验证安全策略不允许TCP/445、TCP/5554、TCP/9996 通信连线埠的入站通信通过 。请使用 SGS 300系列的 AVpe 功能,以确保所有AntiVirus 客户端有最新病毒定义 。Symantec Firewall/VPN 100/200 系列默认情况下,Symantec 的全面应用程式检查防火墙技术通过阻止 W32.Sasser.B.Worm 的入侵,并禁止攻击者访问 TCP/445 和受感染系统的后门通信连线埠 (TCP/5554、TCP/9996) 。Symantec Host IDS 4.1/4.1.1Symantec Host IDS 4.1/4.1.1 针对此蠕虫以及所有已知变异体的防护可透过 Live Update 获得 。Intruder Alert 3.6Symantec 已发行的 Intruder Aler 3.6 W32_Sasser_Worm.pol 将侦测此蠕虫 。Symantec ManHunt2004 年 4 月 13 日发行的 Security Update 22 可使用 “Microsoft RPC LSASS DS Request” 攻击特徵来侦测所有尝试探测 LSASS 漏洞的行为 。因此,当 W32.Sasser.B.Worm 发行时,Symantec ManHunt 的客户会受到初始漏洞防护的保护 。Symantec Client SecuritySymantec 已发行 Symantec Client Security 1.x 及 2.0 的修补程式,可利用感染尝试中出现的 MS_Windows_LSASS_RPC_DS_Request 攻击特徵,识别出 LSASS 探测 。如果 Sasser 蠕虫应用程式已存在系统上,则使用默认防火墙策略的所有 Symantec Client Security 版本都会在它试图启动 FTP 伺服器并传播出站数据连线埠时,提示用户“允许/禁止/配置规则” 。能防护蠕虫的病毒定义档案可于 2004 年 5 月 1 日透过 LiveUpdate 或 Intelligent Updater 获得 。Symantec NetRecon2004 年 5 月 4 日公布的 Symantec NetRecon Update 17 可侦测并报告 LSASS 漏洞 。建议赛门铁克安全回响中心建议所有用户和管理员遵循以下基本安全“最佳实践”:* 禁用并删除不需要的服务 。默认情况下,许多作业系统会安装不必要的辅助服务,如 FTP 伺服器、telnet 和 Web 伺服器 。这些服务可能会成为攻击所利用的途径 。如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程式更新即可完成 。* 如果混合型威胁攻击了一个或多个网路服务,则在套用补丁程式之前,请禁用或禁止访问这些服务 。* 始终安装最新的补丁程式,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack).. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时套用 。* 强制执行密码策略 。複杂的密码使得受感染计算机上的密码档案难以破解 。这样会在计算机被感染时防止或减轻造成的损害 。* 配置电子邮件伺服器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附属档案的邮件,这些档案常用于传播病毒 。* 迅速隔离受感染的计算机,防止其对企业造成进一步危害 。执行取证分析并使用可靠的介质恢复计算机 。* 教育员工不要打开意外收到的附属档案 。并且只在进行病毒扫描后才执行从网际网路下载的软体 。如果未对某些浏览器漏洞套用补丁程式,那幺访问受感染的网站也会造成病毒感染 。使用 W32.Sasser 防毒工具防毒Symantec 安全回响中心开发了一种防毒工具,可用来清除 W32.Sasser.B.Worm 感染 。这是消除此威胁最简易的方法,请先使用此方法防毒 。手动防毒以下指导适用于所有当前和最新的赛门铁克防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品 。⒈ 结束恶意程式 (Windows NT/2000/XP) 。⒉ 关闭「系统还原」(Windows XP) 。⒊ 更新病毒定义档案 。⒋ 执行完整的系统扫描,并修复所有侦测到的 W32.Sasser.B.Worm档案 。⒌ 还原对注册表所做的更改 。如需关于这些步骤的详细信息,请阅读下列指示 。⒈ 结束恶意程式注意 : Windows NT/2000/XP 的用户必须先结束恶意程式 。⒈ 单击 “Ctrl+Alt+Delete” 。⒉ 单击"任务管理器" 。⒊ 单击 “进程” 选项卡 。⒋ 双击 “映像名称” 列标题,按字母顺序对进行排序 。⒌ 滚动列表并查找以下程式:* avserve2.exe* 任何程式的名称包含 4 或 5 位数,后接着 _up.exe (例如 74354_up.exe) 。⒍ 如果您找到任何类似的程式,请单击它并单击"结束进程" 。⒎ 结束"任务管理器" 。⒉ 禁用系统还原(Windows XP)如果您运行的是 Windows XP,建议您暂时关闭“系统还原” 。此功能默认情况下是启用的,一旦计算机中的档案被破坏,Windows 可使用该功能将其还原 。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马 。Windows 禁止包括防病毒程式在内的外部程式修改系统还原 。因此,防病毒程式或工具无法删除 System Restore 资料夹中的威胁 。这样,系统还原就可能将受感染档案还原到计算机上,即使您已经清除了所有其他位置的受感染档案 。此外,病毒扫描可能还会检测到 System Restore 资料夹中的威胁,即使您已将该威胁删除 。有关如何关闭系统还原功能的指导,请参阅 Windows 文档或文章:如何禁用或启用 Windows XP 系统还原 。注意:蠕虫移除乾净后,请按照上述文章所述恢复系统还原的设定 。⒊ 更新病毒定义赛门铁克安全回响中心在我们的伺服器上发布任何病毒定义之前,会对其进行全面测试以保证质量 。可以通过两种方式获得最新的病毒定义: * 运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 伺服器上,除非出现大规模的病毒爆发情况 。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate) 。* 使用智慧型更新程式下载病毒定义:智慧型更新程式病毒定义会在工作日(美国时间,星期一至星期五)发布 。应该从赛门铁克安全回响中心网站下载病毒定义并手动进行安装 。要确定是否可通过智慧型更新程式获取此威胁的定义,请参考病毒定义(智慧型更新程式) 。现在提供智慧型更新程式病毒定义:有关详细说明,请参阅如何使用智慧型更新程式更新病毒定义档案 。⒋ 扫描和删除受感染档案⒈ 启动 Symantec 防病毒程式,并确保已将其配置为扫描所有档案 。* Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有档案 。* 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设定为扫描所有档案 。⒉ 运行完整的系统扫描 。⒊ 如果检测到任何档案被 W32.Sasser.B.Worm 感染,请单击“删除” 。⒌ 还原对注册表所做的更改注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份 。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损 。只修改指定的注册表键 。如需详细指示,请阅读「如何备份 Windows 注册表」档案 。⒈ 单击“开始”,然后单击“运行” 。(将出现“运行”对话框 。)⒉ 键入 regedit 然后单击“确定” 。(将打开注册表编辑器 。)⒊ 导航至以下键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run⒋ 在右窗格中,删除值:"avserve2.exe"="%Windir%\avserve2.exe"⒌ 退出注册表编辑器 。描述者:Heather Shannon