|
Sasser.5
Sasser_Worm 漏洞駭蟲陸續出現變種,
還沒修補漏洞的使用者,請盡快修補,以免中毒。
微軟提供的 LSASS 漏洞修補程式 MS04-011(英文)
微軟提供的 LSASS 漏洞修補程式 MS04-011(中文)
基本介紹
| 病毒名稱 |
Sasser.5 |
| 病毒別名 |
W32.Sasser.E.Worm |
| 病毒型態 |
Worm , Hole |
| 病毒發現日期 |
2004/05/08 |
利用漏洞 |
Local Security Authority Subsystem Service(LSASS) |
| 影響平台 |
Windows NT/2000/XP/2003 |
風險評估
Sasser.5 行為描述:
註:%Windir%代表系統所在目錄,在Win95/98/me系統預設值為 C:\windows
在WinNT/2000/XP/2003系統預設值為 C:\WinNT
註:在Win95/98/me %System% 預設值為 C:\windows\System
在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32
此變種病毒還是會先透過port 445的LSASS漏洞入侵,再利用FTP去遠端電腦下傳病毒檔案到系統目錄執行。此時病毒會自動架設一個FTP server在這次以port 1023來代替port 5554以讓別台電腦可以下傳病毒本體,並開啟port 1022來代替port 9996當後門,讓遠端電腦可以搖控。 病毒執行後,將駭蟲本身複製到%Windir% lsasss.exe
透病毒執行後,將駭蟲本身複製到%System% (隨機)_update.exe
修改登錄檔,如此開機即會啟動駭蟲。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名稱=lsasss.exe 值=%Windows%\lsasss.exe
當開啟電腦時會自動啟動病毒,造成電腦lsass.exe系統錯誤而1分鐘後重新開機。
|