Worm.Sasser.g_病毒数据库

病毒名称: Worm.Sasser.g 类别：蠕虫病毒资料：      破坏方法：

    病毒“ 震荡波”新变种

    该病毒是一个VC++编译的蠕虫病毒，采用多重压缩技术<加壳>来躲避杀毒软件的查杀。

    该病毒的感染流程如下：

    1.创建互斥量：“Jobaka3”；

    2.病毒然后检测是否当前进程的启动参数为空，如果为空则继续流程，否则将试图对该IP地址进行缓冲区溢出漏洞（MS04-011）攻击，完成后将退出流程；

    3.病毒将释放一个病毒“Worm.NetSky.ad”并执行之
    相关文件为：comp.cpl，skynet.cpl 。

    4修改注册表键值以使自己能随系统自启动，相关键值为：

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "avserve3.exe" = "％SYSDIR％\avserve3.exe" 。

    5.再次创建一个互斥量：“PinaasoSky”，这个互斥量是用来防止多次执行下面的流程。

    6.创建一个线程，此线程将建立一个FTP服务器，监听TCP端口5554，用以响应远程下载请求。

    7.接着将循环创建124个线程根据随机IP地址进行探测445端口，如果探测成功将启动一个进程，以探测到的IP地址为参数进入攻击流程。

    8.随后病毒将禁止系统的shutdown。

    1.修改注册表:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "avserve3.exe" = "％SYSDIR％\avserve3.exe"

    2.监听本地端口:病毒监听TCP端口5554，建立一个FTP服务器，此服务器响应远程请求提供病毒下载。

    3. 病毒在攻击完成后将禁止本地机器关闭。

    4.病毒创建大量线程来进行攻击，造成网络交通严重堵塞。

    传播方法:

    1.病毒利用微软操作系统的缓冲区溢出漏洞（MS04-011）进行远程主动攻击和传染。
病毒的清除法： 1.删除注册表键值： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve3.exe" = "%SYSDIR%\avserve3.exe" 2.终止进程。病毒演示：病毒FAQ：      Windows下的PE病毒。

发现日期： 2004-8-26