該病毒會監聽以1068起始的TCP連線埠,同時掃描隨機的IP位址。
基本介紹
- 中文名:Worm.Sasser
- 病毒別名:W32/Sasser.worm [Mcafee]
- 處理時間:2004-05-01
- 威脅級別:★★★
基本信息,發作現象,特別說明,
基本信息
病毒類型:蠕蟲
影響系統:WinNT/Win2000/WinXP/Win2003
病毒行為:
編寫工具:
傳染條件:
發作條件:
系統修改:
A、在註冊表主鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下鍵值:
"avserve.exe" = %SystemRoot%avserve.exe
B、拷貝其本身至系統目錄:
%System%<5位隨機數字>_up.exe
C、在C糟根目錄創建以下檔案:
C:win.log(該檔案用以記錄本地主機的IP位址)
發作現象
:
A、該病毒會監聽以1068起始的TCP連線埠,同時掃描隨機的IP位址;
B、它還會開啟TCP連線埠5554來建立一個FTP伺服器;
C、由於該病毒本身編寫的漏洞存在,它運行一段時間後會導致LSASS.EXE的崩潰,當LSASS.EXE崩潰時系統默認會重啟。
以下是LSASS.EXE崩潰時可能回彈出的視窗:;
特別說明
:
檔案名稱為:avserve.exe
