Worm.Sasser.c

和最近出現的大部分蠕蟲病毒不同，該病毒並不通過郵件傳播，而是通過命令易受感染的機器下載特定檔案並運行，來達到感染的目的。檔案名稱為：avserve2.exe。

1、拷貝自身到：

%Windir%\avserve2.exe

2、在註冊表主鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下添加如下鍵值:

"avserve2.exe" = %SystemRoot%\avserve2.exe

3、拷貝其本身至系統目錄：

%System%\<5位隨機數字>_up.exe

4、在C糟根目錄創建以下檔案：

C:\win.log(該檔案用以記錄本地主機的IP位址)

5、使用AbortSystemShutdown API來防止系統重啟或關機。

6、它開啟TCP連線埠5554來建立一個FTP伺服器，用來當作感染其他機器的伺服器。

7、通過TCP 445連線埠掃描隨機的IP位址，當連線成功時，被感染的計算機向被連線機器發動溢出攻擊，被攻擊的計算機將會自動連線被感染計算機的5554連線埠並通過FTP下載蠕蟲的副本，名稱一般為4到5個數字加上"_up"的組合，如(78456_up.exe)。

8、由於該病毒本身編寫的漏洞存在，它運行一段時間後會導致LSASS.EXE的崩潰，當LSASS.EXE崩潰時系統默認會重啟。

9、同時開啟1027個執行緒攻擊。

10、該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerability (CAN-2003-0907)]。

Worm.Sasser.c是一個惡性網路蠕蟲，利用WINDOWS平台的 Lsass漏洞進行廣泛傳播，開啟上百個執行緒不停攻擊其它網上其它系統，嚴重堵塞網路，病毒的攻擊行為可讓系統不停的倒計時重啟。