Worm.Sasser.e

中文名稱：震盪波變種E

影響系統：WinNT/Win2000/WinXP/Win2003

和最近出現的大部分蠕蟲病毒不同，該病毒並不通過郵件傳播，而是通過命令易受感染的機器下載特定檔案並運行，來達到感染的目的。

1、將自身複製到%SystemRoot%\lsasss.exe (通常為C:\WinNT\或C:\Windows)

2、在註冊表主鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下添加如下鍵值:

"lsasss.exe" = %SystemRoot%\lsasss.exe

3、在註冊表主鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下刪除以下鍵值：

ssgrate.exe

drvsys.exe

Drvddll_exe

此三個鍵值分別為Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三個病毒創建。

4、拷貝其本身至系統目錄：%System%\<4或5位隨機數字>_upload.exe (通常為WinNT\System32或Windows\System32)

5、在C糟根目錄下建立檔案ftplog.txt，記錄最近試圖攻擊的IP及攻擊成功的主機的數目

6、它開啟TCP連線埠1023來建立一個FTP伺服器，用來當作感染其他機器的伺服器。

7、開啟128執行緒掃描隨機IP，在確定目標可達後會試圖連線目標的的TCP 445連線埠。如果連線成功，則被感染計算機向被連線機器發動溢出攻擊，溢出成功則會在被連線機器上打開一個shell，並打開1022連線埠。然後，被攻擊的計算機將會自動連線被感染計算機的1023連線埠並通過FTP下載蠕蟲的副本，名稱一般為4到5個數字加上"_upload"的組合，如(78456_upload.exe).

8、病毒攻擊時會引啟系統的倒計時重啟或出錯，顯示如下圖

9、病毒啟動後會每隔一秒調用系統API——AbortSystemShutdown 來限制系統重啟或關機，在兩個小時後顯示下面的信息

10、該自運行的蠕蟲通過使用Windows的一個漏洞來傳播[MS04-011 vulnerability (CAN-2003-0907)]，關於該漏洞的更多信息請訪問：

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx