Sasser

網路最新漏洞駭蟲 Sasser_Worm 與第二代變種 Sasser.2_Worm造成電腦不斷重新開機,此病毒所利用的是 Windows NT/2000/XP/2003 系統上的 "Local Security Authority Subsystem Service(LSASS)" 此類型漏洞駭蟲會在系統 Windows 根目錄內植入 AVSERVE.EXE 或 AVSERVE2.EXE,還沒修補漏洞的使用者,請盡快修補,以免中毒。

Sasser快速解除鈕
Sasser病毒快速解除檔

微軟提供的 LSASS 漏洞修補程式 MS04-011(英文)

微軟提供的 LSASS 漏洞修補程式 MS04-011(中文)

基本介紹

病毒名稱 Sasser
病毒別名 W32/Sasser.worm
病毒型態 Worm , Hole
病毒發現日期 2004/05/01

利用漏洞

 Local Security Authority Subsystem Service(LSASS)
影響平台 Windows 2000/NT/XP/2003

風險評估

散播程度:中
破壞程度:中

Sasser 行為描述:

註:%Windir%代表系統所在目錄,在Win95/98/me系統預設值為 C:\windows

在WinNT/2000/XP/2003系統預設值為 C:\WinNT

  • 此病毒會先透過port 445的LSASS漏洞入侵,再利用FTP去遠端電腦下傳病毒檔案到系統目錄執行。此時病毒會自動架設一個FTP server在port 5554以讓別台電腦可以下傳病毒本體,並開啟port 9996當後門,讓遠端電腦可以搖控。

  • 病毒執行後,將駭蟲本身複製到%Windir%

    • avserve.exe 或avserve2.exe

  • 植入後門程式在%Windir%\avserve.exe 或 avserve2.exe,開啟port 9996,使其可遠端操作感染者電腦。

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    名稱=avserve.exe 值=\%Windir%\avserve.exe 或
    名稱=avserve2.exe 值=\%Windir%\avserve2.exe

  • 當開啟電腦時會自動啟動病毒,造成電腦重新開機。