|
|
| |
|
|
快讯:江民发布震荡波C变种病毒技术分析报告
|
|
www.jiangmin.com.cn
2004-5-3 9:44:57 作者: 信息出自:江民科技
|
|
| |
|
江民科技快速反病毒小组最先发现震荡波变种病毒I-Worm/Sasser.c,并及时升级了查杀病毒数据库,请广大江民杀毒软件用户及时升级查杀病毒引擎以及查杀病毒数据库。这是江民科技反病毒小组在节日期间连续第三次升级查杀病毒库。
该变种震荡波病毒和原病毒大小一样,都是15872字节。用来传播的文件名称还是:avserve2.exe,其余的特性都和原变种一样:都是不通过邮件传播,病毒会按照相同的方式直接在网络上搜索可能感染的机器,江民科技及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。
技术特点:
大小:15872字节
感染系统:Windows 2000、Windows Server 2003、Windows XP
利用微软的漏洞:MS04-011,补丁下载地址:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
技术分析:
和其原病毒一样,该病毒同样会修改系统注册表以使得系统启动后,该病毒能自动启动运行。
(1)注册表修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
增加的键是:avserve2.exe,值是c:\windows\avserve2.exe.
这样该蠕虫能随系统启动而自动运行。
(2)该病毒能自动判断内存中是否已经有病毒已经运行,如果有的话,则不会运行多于一份。
(3)在TCP的端口5554建立FTP服务器,以便该病毒能继续传播到网络上的其他存在漏洞的机器。
(4)随机在网络上搜索感染的机器,并试图通过TCP的445端口来进行感染计算机。具体的规则和I-Worm/Sasser一样.
要点:
(1)微软补丁程序下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx
(2):震荡波病毒I-Worm/Sasser技术特性。
(3)此变种在B基础上改变很少,只有几个字节。病毒作者在b变种的基础上做了微小改动,修改了部分内部参数。
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
