Worm.Sasser

病毒類型：蠕蟲

影響系統：WinNT/Win2000/WinXP/Win2003

病毒行為:

編寫工具:

傳染條件:

發作條件:

系統修改:

A、在註冊表主鍵：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下鍵值:

"avserve.exe" = %SystemRoot%avserve.exe

B、拷貝其本身至系統目錄：

%System%<5位隨機數字>_up.exe

C、在C盤根目錄創建以下文件：

C:win.log(該文件用以記錄本地主機的IP地址)

:

A、該病毒會監聽以1068起始的TCP端口，同時掃描隨機的IP地址；

B、它還會開啓TCP端口5554來建立一個FTP服務器；

C、由於該病毒本身編寫的漏洞存在，它運行一段時間後會導致LSASS.EXE的崩潰，當LSASS.EXE崩潰時系統默認會重啓。

以下是LSASS.EXE崩潰時可能回彈出的窗口：；

:

和最近出現的大部分蠕蟲病毒不同，該病毒並不通過郵件傳播，而是通過命令易受感染的機器下載特定文件並運行，來達到感染的目的。

文件名為：avserve.exe