複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/W32.Sasser.B.Worm/3441233
複製
複製成功

W32.Sasser.B.Worm

鎖定
W32.Sasser.B.Worm是一款病毒,受感染的系統:Windows 2000,Windows XP。
中文名
震盪波變種B
外文名
W32.Sasser.B.Worm
發    現
2004 年 5 月 1 日
更    新
2007 年 2 月 13 日 12:24:54 PM
類    型
Worm

目錄

  1. 1 概要
  2. 2 防護
  3. 3 威脅評估
  1. 廣度
  2. 損壞
  3. 分發
  1. 4 建議

W32.Sasser.B.Worm概要

別名:WORM_SASSER.B【Trend】,W32/Sasser.worm.b【McAfee】,Worm.Win32.Sasser.b【Kaspersky,W32/Sasser-B】【Sophos】,Win32.Sasser.B【Computer Assoc,Sasser.B】【F-Secure】,W32/Sasser.B.worm【Panda】,Win32/Sasser.B.worm【RAV】,W32/Sasser.B【F-Prot】
感染長度:15,872 bytes
受感染的系統:Windows 2000,Windows XP
CVE 參考:CAN-2003-0533
W32.Sasser.B.Worm 是 W32.Sasser.Worm 的變種。它會嘗試探測 MS04-011 漏洞蠕蟲 (如 Microsoft 安全公告 MS04-011文件中介紹)。它會藉由掃描隨機選取的 IP 地址,進而散佈至未防護的系統上。
W32.Sasser.B.Worm 和 W32.Sasser.Worm 的不同之處是,W32.Sasser.B.Worm 會:
* 使用不同 Mutex:Jobaka3。
* 使用不同文件名稱:avserve2.exe。
* 有不同 MD5 散列值。
* 在註冊表鍵內加入不同的值:“avserve2.exe”。
注意:
* 蠕蟲它具有一個 MD5 散列值 0x1A2C0E6130850F8FD9B9B5309413CD00。
* Symantec 安全響應中心已開發出可清除 W32.Sasser.B.Worm 感染的殺毒工具。
* 攔截廣域防火牆的 TCP 埠 5554、9996 及 445 並安裝適當的 Microsoft 修正程序 (MS04-011) 即可避免遭受遠程探測系統的漏洞。
W32.Sasser.B.Worm 可在 Windows 95/98/Me 的計算機上執行 (但無法加以感染)。雖然這些操作系統不會受到感染,但它們仍會被用來連接至未防護的系統並加以感染。在這種情況下,該蠕蟲將浪費大量資源,因而使程序無法正確執行,包括我們的殺毒工具。在 Windows 95/98/Me 的計算機漫上,殺毒工具應該在「安全模式」下執行。
由於提交率的提高,Symantec 安全響應中心已將 W32.Sasser.B.Worm 的威脅級別從 3 級升級為 4 級。

W32.Sasser.B.Worm防護

* 病毒定義(每週 LiveUpdate™) 2004 年 5 月 1 日
* 病毒定義(智能更新程序) 2004 年 5 月 1 日

W32.Sasser.B.Worm威脅評估

W32.Sasser.B.Worm廣度

* 廣度級別:Medium
* 感染數量:More than 1000
* 站點數量:More than 10
* 地理位置分佈:High
* 威脅抑制:Easy
* 清除:Moderate

W32.Sasser.B.Worm損壞

* 損壞級別:Low
* 降低性能:Causes significant performance degradation.

W32.Sasser.B.Worm分發

* 分發級別:High
* 端口:TCP 445,5554,9996
* 感染目標:Unpatched systems vulnerable to LSASS exploit - MS04-011.
W32.Sasser.B.Worm 運行時會執行下列操作:
⒈ 嘗試創建一個名為 JumpallsNlsTillt 的 Mutex 並在嘗試失敗時退出。這樣可確保任何時候計算機上都只有一個蠕蟲在執行。
⒉ 嘗試創建一個名為 Jobaka3 的互斥體。此互斥體無明顯用途。
⒊ 將自己複製為 %Windir%\Avserve2.exe。
注意: %Windir% 是一個變數。該蠕蟲會找到 Windows 安裝文件夾(默認為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
⒋ 增下列值:
"avserve2.exe"="%Windir%\avserve2.exe"
加入註冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,當您啓動 Windows 時,蠕蟲就會執行。
⒌ 使用 AbortSystemShutdown API 來妨礙試圖關閉或重新啓動計算機的動作。
⒍ 在 TCP 埠 5554 上啓動 FTP 服務器。該服務器是用來將蠕蟲傳播至其它主機上。
⒏ 由蠕蟲產生之 IP 地址,其散佈方式如下:
* 52% 完全是隨機的
* 23% 八位字節的最後3個數字為隨機數目
* 25% 八位字節的最後2個數字為隨機數目
注意:
* 八位字節是 IP 地址的8個位。例如:如果 A.B.C.D. 是一個 IP 地址,那 A 就是第1個八位字節,B 就是第2個,C 就是第3個,D 就是第4個。
* 因為此蠕蟲會建立隨機 IP 地址,任何 IP 地址範圍都有可能被感染。
* 蠕蟲會啓動 128 個執行緒以掃描隨機選取的 IP 地址。這樣將會佔用大量 CPU 時間,因而導致受感染的計算機幾乎無法使用。
⒐ 試圖通過 TCP 埠 445 連接至隨機產生的 IP 地址,以檢測遠程計算機是否聯機中。
⒑ 如果成功與計算機建立聯機,該蠕蟲便會發送 shellcode 至該計算機上,使其在 TCP 埠 9996 上執行遠程的 Shell。
⒒ 然後,蠕蟲會使用該 Shell 使計算機通過端口5554 連接至 FTP 服務器並擷取蠕蟲的副本。這個副本的名稱包含 4 或 5 位數,然後接着 _up.exe (例如 74354_up.exe)。
⒓ 在蠕蟲嘗試探測 LSASS 漏洞後,會導致 Lsass.exe 程序當機。Windows 將會在顯示警訊後關機一分鐘。
⒔ 在最近感染和其它受感染的計算機 IP 地址上的 C:\win2.log 創建一個文件。
Symantec Gateway Security 5400 系列以及 Symantec Gateway Security v1.0
* 防病毒組件:Symantec Gateway Security AntiVirus 引擎的更新程序目前已可供下載,能防護 W32.Sasser.B.Worm 的威脅。建議 Symantec Gateway Security 5000 系列的用户運行 LiveUpdate。
* IDS/IPS 組件:Symantec Gateway Security 5400 系列可偵測針對 Microsoft LSASS 漏洞攻擊的攻擊特徵已包含在 4 月 14 日發行的 SU 8 中。在 SGS v1.0 上偵測針對 Microsoft LSASS 漏洞攻擊的攻擊特徵已經發行。建議 Symantec Gateway Security 5000 系列的用户執行 LiveUpdate。
* 全面的應用程序檢查防火牆組件:默認情況下,Symantec 的全面應用程序檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵,並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信端口 (TCP/5554、TCP/9996)。建議系統管理員驗證安全策略不允許通信端口的入站通信通過。
Symantec Enterprise Firewall 8.0
默認情況下,Symantec 的全面應用程序檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵,並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信端口 (TCP/5554、TCP/9996)。建議系統管理員驗證安全策略不允許通信端口的入站通信通過。
Symantec Enterprise FIrewall 7.0.x 和 Symantec VelociRaptor 1.5
默認情況下,Symantec 的全面應用程序檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵,並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信端口 (TCP/5554、TCP/9996)。建議系統管理員驗證安全策略不允許通信端口的入站通信通過。
Symantec Clientless VPN Gateway 4400 系列
Symantec Clientless VPN Gateway v5.0 不會受此威脅的感染。默認情況下,安全網關可以禁止攻擊者訪問 TCP/445 和受感染系統的後門通信端口 (TCP/5554、TCP/9996)。
Symantec Gateway Security 300 系列
默認情況下,Symantec 的全面應用程序檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵,並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信端口 (TCP/5554、TCP/9996)。建議系統管理員驗證安全策略不允許TCP/445、TCP/5554、TCP/9996 通信端口的入站通信通過。請使用 SGS 300系列的 AVpe 功能,以確保所有AntiVirus 客户端有最新病毒定義。
Symantec Firewall/VPN 100/200 系列
默認情況下,Symantec 的全面應用程序檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵,並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信端口 (TCP/5554、TCP/9996)。
Symantec Host IDS 4.1/4.1.1
Symantec Host IDS 4.1/4.1.1 針對此蠕蟲以及所有已知變異體的防護可透過 Live Update 獲得。
Intruder Alert 3.6
Symantec 已發行的 Intruder Aler 3.6 W32_Sasser_Worm.pol 將偵測此蠕蟲
Symantec ManHunt
2004 年 4 月 13 日發行的 Security Update 22 可使用 “Microsoft RPC LSASS DS Request” 攻擊特徵來偵測所有嘗試探測 LSASS 漏洞的行為。因此,當 W32.Sasser.B.Worm 發行時,Symantec ManHunt 的客户會受到初始漏洞防護的保護。
Symantec Client Security
Symantec 已發行 Symantec Client Security 1.x 及 2.0 的修補程序,可利用感染嘗試中出現的 MS_Windows_LSASS_RPC_DS_Request 攻擊特徵,識別出 LSASS 探測。如果 Sasser 蠕蟲應用程序已存在系統上,則使用默認防火牆策略的所有 Symantec Client Security 版本都會在它試圖啓動 FTP 服務器並傳播出站數據端口時,提示用户“允許/禁止/配置規則”。能防護蠕蟲的病毒定義文件可於 2004 年 5 月 1 日透過 LiveUpdate 或 Intelligent Updater 獲得。
Symantec NetRecon
2004 年 5 月 4 日公佈的 Symantec NetRecon Update 17 可偵測並報告 LSASS 漏洞。

W32.Sasser.B.Worm建議

賽門鐵克安全響應中心建議所有用户和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。默認情況下,許多操作系統會安裝不必要的輔助服務,如 FTP 服務器、telnet 和 Web 服務器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程序更新即可完成。
* 如果混合型威脅攻擊了一個或多個網絡服務,則在應用補丁程序之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程序,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack).. 另外,對於本文中、可靠的安全公告或供應商網站上公佈的安全更新,也要及時應用。
* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件服務器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件,這些文件常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附件。並且只在進行病毒掃描後才執行從互聯網下載的軟件。如果未對某些瀏覽器漏洞應用補丁程序,那麼訪問受感染的網站也會造成病毒感染。
使用 W32.Sasser 殺毒工具殺毒
Symantec 安全響應中心開發了一種殺毒工具,可用來清除 W32.Sasser.B.Worm 感染。這是消除此威脅最簡易的方法,請先使用此方法殺毒。
手動殺毒
以下指導適用於所有當前和最新的賽門鐵克防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
⒈ 結束惡意程序 (Windows NT/2000/XP)。
⒉ 關閉「系統還原」(Windows XP)。
⒊ 更新病毒定義文件
⒋ 執行完整的系統掃描,並修復所有偵測到的 W32.Sasser.B.Worm文件。
⒌ 還原對註冊表所做的更改。
如需關於這些步驟的詳細信息,請閲讀下列指示。
⒈ 結束惡意程序
注意 : Windows NT/2000/XP 的用户必須先結束惡意程序。
⒈ 單擊 “Ctrl+Alt+Delete”。
⒉ 單擊"任務管理器"。
⒊ 單擊 “進程” 選項卡。
⒋ 雙擊 “映像名稱” 列標題,按字母順序對進行排序。
⒌ 滾動列表並查找以下程序:
* avserve2.exe
* 任何程序的名稱包含 4 或 5 位數,後接着 _up.exe (例如 74354_up.exe)。
⒍ 如果您找到任何類似的程序,請單擊它並單擊"結束進程"。
⒎ 結束"任務管理器"。
⒉ 禁用系統還原(Windows XP)
如果您運行的是 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啓用的,一旦計算機中的文件被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程序在內的外部程序修改系統還原。因此,防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣,系統還原就可能將受感染文件還原到計算機上,即使您已經清除了所有其他位置的受感染文件。
此外,病毒掃描可能還會檢測到 System Restore 文件夾中的威脅,即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導,請參閲 Windows 文檔或文章:如何禁用或啓用 Windows XP 系統還原。
注意:蠕蟲移除乾淨後,請按照上述文章所述恢復系統還原的設置。
⒊ 更新病毒定義
賽門鐵克安全響應中心在我們的服務器上發佈任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
* 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每週一次(通常在星期三)發佈到 LiveUpdate 服務器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智能更新程序下載病毒定義:智能更新程序病毒定義會在工作日(美國時間,星期一至星期五)發佈。應該從賽門鐵克安全響應中心網站下載病毒定義並手動進行安裝。要確定是否可通過智能更新程序獲取此威脅的定義,請參考病毒定義(智能更新程序)。
現在提供智能更新程序病毒定義:有關詳細説明,請參閲如何使用智能更新程序更新病毒定義文件
⒋ 掃描和刪除受感染文件
⒈ 啓動 Symantec 防病毒程序,並確保已將其配置為掃描所有文件。
* Norton AntiVirus 單機版產品:請閲讀文檔:如何配置 Norton AntiVirus 以掃描所有文件。
* 賽門鐵克企業版防病毒產品:請閲讀 如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件。
⒉ 運行完整的系統掃描。
⒊ 如果檢測到任何文件被 W32.Sasser.B.Worm 感染,請單擊“刪除”。
⒌ 還原對註冊表所做的更改
注意:對系統註冊表進行任何修改之前,賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯,嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示,請閲讀「如何備份 Windows 註冊表」文件。
⒈ 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
⒉ 鍵入 regedit 然後單擊“確定”。(將打開註冊表編輯器。)
⒊ 導航至以下鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
⒋ 在右窗格中,刪除值:
"avserve2.exe"="%Windir%\avserve2.exe"
⒌ 退出註冊表編輯器
描述者:Heather Shannon