Worm.Sasser.f
2008-02-23 09:27:43来源:互联网 阅读 ()
病毒名称:
Worm.Sasser.f
类别: 蠕虫
病毒资料:
破坏方法:
此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性。
一、这是一个类似冲击波的病毒,利用微软操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。
受感染的操作系统有:
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6
Microsoft windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3,
和
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
二、病毒的破坏行为:
1.开辟线程,在本地开辟后门。监听TCP 5554端口(支持USER、PASS、PORT、RETR和QUIT命令)被攻击的机器主动连接本地5554端口,把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。病毒把被成功攻击的ip地址保存到“c:\win.log”
2. 病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作, 以及系统异常等。由于该病毒在lsass.exe中溢出,可以获取管理员的权限,执行任意指令。
溢出代码会主动从原机器下载病毒程序,运行起来,开始新的攻击。
病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞,该病毒在网络上传播迅速,造成网络瘫痪。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期:
2004-5-11
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.Cycle.a.enc
下一篇:I-Worm.Lyndegg
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
