震荡波(Sasser)于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失,也让所有人记住了04年的4月,该病毒为I-Worm/Sasser.a的第三方改造版本。
Sasser蠕虫是一种计算机蠕虫,主要针对运行Microsoft操作系统(如Windows XP和Windows 2000)的计算机。Sasser蠕虫通过利用易受攻击的网络端口进行传输。可以很容易地从一台计算机传播到另一台计算机,而无需用户干预。由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会造成很大的冲击。
震荡波(Sasser)于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失,也让所有人记住了04年的4月,该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播,我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件,会显示出谴责美国大兵的英文语句。
Sasser感染的系统包括Windows 2000、Windows Server 2003和Windows XP,病毒运行后会巧妙的将自身复制为%WinDir%napatch.exe,随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。
这种蠕虫之所以被称为Sasser,是因为它利用受感染操作系统上称为LSASS(LocalSecurityAuthority Subsystem Service)的组件中的缓冲区溢出进行传播。蠕虫扫描不同范围的IP地址,并连接到受害者的计算机,主要通过TCP端口445。
微软对该病毒的分析表明,它也可能通过端口139传播。几个名为Sasser.B、Sasser.c和Sasser.D的变体在几天内就出现了(最初的名称是Sasser.A)。LSASS漏洞是Microsoft在发布蠕虫之前,在2004年4月分期付款的每月安全包中修补的。
Sasser蠕虫感染计算机的一个标志是其硬盘上存在文件C:WIN.LOG或C:win2.LOG,以及由于蠕虫中使用的错误编码而导致屏幕上出现LSASS.EXE的随机崩溃。蠕虫最常见的症状是由于蠕虫崩溃LSASS.exe而出现的关闭计时器。
Sasser蠕虫病毒是由一位名叫svenjaschan的德国计算机科学学生写的。蠕虫病毒最早是在一个名为localsecurity authority subsystem service(LSASS)的进程中利用缓冲区溢出进行攻击时被发现的,该进程在系统上强制执行安全策略。它具有迅速扩展到许多计算机的能力。在很短的时间内,Sasser-a、Sasser-B和Sasser-C被发现影响了全球数百台计算机。
未知的网友