W32.Sasser.B.Worm

別名：WORM_SASSER.B [Trend],W32/Sasser.worm.b [McAfee],Worm.Win32.Sasser.b [Kaspersky,W32/Sasser-B [Sophos],Win32.Sasser.B [Computer Assoc,Sasser.B [F-Secure],W32/Sasser.B.worm [Panda],Win32/Sasser.B.worm [RAV],W32/Sasser.B [F-Prot]

感染長度：15,872 bytes

受感染的系統：Windows 2000,Windows XP

CVE 參考：CAN-2003-0533

W32.Sasser.B.Worm 是 W32.Sasser.Worm 的變種。它會嘗試探測 MS04-011 漏洞的蠕蟲 （如 Microsoft 安全公告 MS04-011檔案中介紹）。它會藉由掃描隨機選取的 IP 地址，進而散布至未防護的系統上。

W32.Sasser.B.Worm 和 W32.Sasser.Worm 的不同之處是，W32.Sasser.B.Worm 會：

* 使用不同 Mutex：Jobaka3。

* 使用不同檔案名稱稱：avserve2.exe。

* 有不同 MD5 散列值。

* 在註冊表鍵內加入不同的值：“avserve2.exe”。

注意：

* 蠕蟲它具有一個 MD5 散列值 0x1A2C0E6130850F8FD9B9B5309413CD00。

* Symantec 安全回響中心已開發出可清除 W32.Sasser.B.Worm 感染的防毒工具。

* 攔截廣域防火牆的 TCP 埠 5554、9996 及 445 並安裝適當的 Microsoft 修正程式 (MS04-011） 即可避免遭受遠程探測系統的漏洞。

W32.Sasser.B.Worm 可在 Windows 95/98/Me 的計算機上執行 （但無法加以感染）。雖然這些作業系統不會受到感染，但它們仍會被用來連線至未防護的系統並加以感染。在這種情況下，該蠕蟲將浪費大量資源，因而使程式無法正確執行，包括我們的防毒工具。(在 Windows 95/98/Me 的計算機漫上，防毒工具應該在「安全模式」下執行。）

由於提交率的提高，Symantec 安全回響中心已將 W32.Sasser.B.Worm 的威脅級別從 3 級升級為 4 級。

* 病毒定義（每周 LiveUpdate™） 2004 年 5 月 1 日

* 病毒定義（智慧型更新程式） 2004 年 5 月 1 日

* 廣度級別：Medium

* 感染數量：More than 1000

* 站點數量：More than 10

* 地理位置分布：High

* 威脅抑制：Easy

* 清除：Moderate

* 損壞級別：Low

* 降低性能：Causes significant performance degradation.

* 分發級別：High

* 連線埠：TCP 445,5554,9996

* 感染目標：Unpatched systems vulnerable to LSASS exploit - MS04-011.

W32.Sasser.B.Worm 運行時會執行下列操作：

⒈ 嘗試創建一個名為 JumpallsNlsTillt 的 Mutex 並在嘗試失敗時退出。這樣可確保任何時候計算機上都只有一個蠕蟲在執行。

⒉ 嘗試創建一個名為 Jobaka3 的互斥體。此互斥體無明顯用途。

⒊ 將自己複製為 %Windir%\Avserve2.exe。

注意： %Windir% 是一個變數。該蠕蟲會找到 Windows 安裝資料夾（默認為 C:\Windows 或 C:\Winnt），然後將自身複製到其中。

⒋ 增下列值：

"avserve2.exe"="%Windir%\avserve2.exe"

加入註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此，當您啟動 Windows 時，蠕蟲就會執行。

⒌ 使用 AbortSystemShutdown API 來妨礙試圖關閉或重新啟動計算機的動作。

⒍ 在 TCP 埠 5554 上啟動 FTP 伺服器。該伺服器是用來將蠕蟲傳播至其它主機上。

⒏ 由蠕蟲產生之 IP 地址，其散布方式如下：

* 52% 完全是隨機的

* 23% 八位位元組的最後3個數字為隨機數目

* 25% 八位位元組的最後2個數字為隨機數目

注意：

* 八位位元組是 IP 地址的8個位。例如：如果 A.B.C.D. 是一個 IP 地址，那 A 就是第1個八位位元組，B 就是第2個，C 就是第3個，D 就是第4個。

* 因為此蠕蟲會建立隨機 IP 地址，任何 IP 地址範圍都有可能被感染。

* 蠕蟲會啟動 128 個執行緒以掃描隨機選取的 IP 地址。這樣將會占用大量 CPU 時間，因而導致受感染的計算機幾乎無法使用。

⒐ 試圖通過 TCP 埠 445 連線至隨機產生的 IP 地址，以檢測遠程計算機是否在線上中。

⒑ 如果成功與計算機建立在線上，該蠕蟲便會傳送 shellcode 至該計算機上，使其在 TCP 埠 9996 上執行遠程的 Shell。

⒒ 然後，蠕蟲會使用該 Shell 使計算機通過連線埠5554 連線至 FTP 伺服器並擷取蠕蟲的副本。這個副本的名稱包含 4 或 5 位數，然後接著 _up.exe （例如 74354_up.exe）。

⒓ 在蠕蟲嘗試探測 LSASS 漏洞後，會導致 Lsass.exe 程式當機。Windows 將會在顯示警訊後關機一分鐘。

⒔ 在最近感染和其它受感染的計算機 IP 地址上的 C:\win2.log 創建一個檔案。

Symantec Gateway Security 5400 系列以及 Symantec Gateway Security v1.0

* 防病毒組件：Symantec Gateway Security AntiVirus 引擎的更新程式目前已可供下載，能防護 W32.Sasser.B.Worm 的威脅。建議 Symantec Gateway Security 5000 系列的用戶運行 LiveUpdate。

* IDS/IPS 組件：Symantec Gateway Security 5400 系列可偵測針對 Microsoft LSASS 漏洞攻擊的攻擊特徵已包含在 4 月 14 日發行的 SU 8 中。在 SGS v1.0 上偵測針對 Microsoft LSASS 漏洞攻擊的攻擊特徵已經發行。建議 Symantec Gateway Security 5000 系列的用戶執行 LiveUpdate。

* 全面的應用程式檢查防火牆組件：默認情況下，Symantec 的全面應用程式檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵，並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信連線埠 (TCP/5554、TCP/9996）。建議系統管理員驗證安全策略不允許通信連線埠的入站通信通過。

Symantec Enterprise Firewall 8.0

默認情況下，Symantec 的全面應用程式檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵，並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信連線埠 (TCP/5554、TCP/9996）。建議系統管理員驗證安全策略不允許通信連線埠的入站通信通過。

Symantec Enterprise FIrewall 7.0.x 和 Symantec VelociRaptor 1.5

默認情況下，Symantec 的全面應用程式檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵，並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信連線埠 (TCP/5554、TCP/9996）。建議系統管理員驗證安全策略不允許通信連線埠的入站通信通過。

Symantec Clientless VPN Gateway 4400 系列

Symantec Clientless VPN Gateway v5.0 不會受此威脅的感染。默認情況下，安全網關可以禁止攻擊者訪問 TCP/445 和受感染系統的後門通信連線埠 (TCP/5554、TCP/9996）。

Symantec Gateway Security 300 系列

默認情況下，Symantec 的全面應用程式檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵，並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信連線埠 (TCP/5554、TCP/9996）。建議系統管理員驗證安全策略不允許TCP/445、TCP/5554、TCP/9996 通信連線埠的入站通信通過。請使用 SGS 300系列的 AVpe 功能，以確保所有AntiVirus 客戶端有最新病毒定義。

Symantec Firewall/VPN 100/200 系列

默認情況下，Symantec 的全面應用程式檢查防火牆技術通過阻止 W32.Sasser.B.Worm 的入侵，並禁止攻擊者訪問 TCP/445 和受感染系統的後門通信連線埠 (TCP/5554、TCP/9996）。

Symantec Host IDS 4.1/4.1.1

Symantec Host IDS 4.1/4.1.1 針對此蠕蟲以及所有已知變異體的防護可透過 Live Update 獲得。

Intruder Alert 3.6

Symantec 已發行的 Intruder Aler 3.6 W32_Sasser_Worm.pol 將偵測此蠕蟲。

Symantec ManHunt

2004 年 4 月 13 日發行的 Security Update 22 可使用 “Microsoft RPC LSASS DS Request” 攻擊特徵來偵測所有嘗試探測 LSASS 漏洞的行為。因此，當 W32.Sasser.B.Worm 發行時，Symantec ManHunt 的客戶會受到初始漏洞防護的保護。

Symantec Client Security

Symantec 已發行 Symantec Client Security 1.x 及 2.0 的修補程式，可利用感染嘗試中出現的 MS_Windows_LSASS_RPC_DS_Request 攻擊特徵，識別出 LSASS 探測。如果 Sasser 蠕蟲應用程式已存在系統上，則使用默認防火牆策略的所有 Symantec Client Security 版本都會在它試圖啟動 FTP 伺服器並傳播出站數據連線埠時，提示用戶“允許/禁止/配置規則”。能防護蠕蟲的病毒定義檔案可於 2004 年 5 月 1 日透過 LiveUpdate 或 Intelligent Updater 獲得。

Symantec NetRecon

2004 年 5 月 4 日公布的 Symantec NetRecon Update 17 可偵測並報告 LSASS 漏洞。

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）.. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 W32.Sasser 防毒工具防毒

Symantec 安全回響中心開發了一種防毒工具，可用來清除 W32.Sasser.B.Worm 感染。這是消除此威脅最簡易的方法，請先使用此方法防毒。

手動防毒

以下指導適用於所有當前和最新的賽門鐵克防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

⒈ 結束惡意程式 (Windows NT/2000/XP）。

⒉ 關閉「系統還原」（Windows XP）。

⒊ 更新病毒定義檔案。

⒋ 執行完整的系統掃描，並修復所有偵測到的 W32.Sasser.B.Worm檔案。

⒌ 還原對註冊表所做的更改。

如需關於這些步驟的詳細信息，請閱讀下列指示。

⒈ 結束惡意程式

注意 : Windows NT/2000/XP 的用戶必須先結束惡意程式。

⒈ 單擊 “Ctrl+Alt+Delete”。

⒉ 單擊"任務管理器"。

⒊ 單擊 “進程” 選項卡。

⒋ 雙擊 “映像名稱” 列標題，按字母順序對進行排序。

⒌ 滾動列表並查找以下程式：

* avserve2.exe

* 任何程式的名稱包含 4 或 5 位數，後接著 _up.exe （例如 74354_up.exe）。

⒍ 如果您找到任何類似的程式，請單擊它並單擊"結束進程"。

⒎ 結束"任務管理器"。

⒉ 禁用系統還原（Windows XP）

如果您運行的是 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。

有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或文章：如何禁用或啟用 Windows XP 系統還原。

注意：蠕蟲移除乾淨後，請按照上述文章所述恢復系統還原的設定。

⒊ 更新病毒定義

賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate）。

* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

⒋ 掃描和刪除受感染檔案

⒈ 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

⒉ 運行完整的系統掃描。

⒊ 如果檢測到任何檔案被 W32.Sasser.B.Worm 感染，請單擊“刪除”。

⒌ 還原對註冊表所做的更改

注意：對系統註冊表進行任何修改之前，賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯，嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示，請閱讀「如何備份 Windows 註冊表」檔案。

⒈ 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）

⒉ 鍵入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）

⒊ 導航至以下鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

⒋ 在右窗格中，刪除值：

"avserve2.exe"="%Windir%\avserve2.exe"

⒌ 退出註冊表編輯器。

描述者：Heather Shannon