新蠕蟲(chóng)危險程度升高 可搖控受駭電腦

「WORM_SASSER」 殺手病毒危害等級升高，入侵防御公司Network Assocoates今(4)日宣布McAfee AVERT (防毒緊急回應小組) 發(fā)布W32/Sasser.worm.b 蠕蟲(chóng)為中度風(fēng)險。趨勢科技更將危險程度定為高度紅色病毒警戒。

該公司指出，這只自我執行的蠕蟲(chóng)會(huì )攻擊Microsoft Windows的弱點(diǎn) [MS04-11 弱點(diǎn) (CAN-2003-0533)]。該蠕蟲(chóng)透過(guò)avserve2.exe擋案形式散布，但與最近出現的蠕蟲(chóng)不同的是，該蠕蟲(chóng)并不透過(guò)電子郵件散布，即使使用者不做任何事情也會(huì )受到感染或散布病毒 (藉由攻擊微軟作業(yè)系統漏洞)。該蠕蟲(chóng)會(huì )搖控受駭的電腦自動(dòng)下載并執行危險的程式碼。由於在全球擴散的趨勢逐漸升高，因此評定為中度風(fēng)險。

該病毒的中毒徵狀是會(huì )將自己寫(xiě)入到Windows目錄下的avserve2.exe，并建立下列機碼以在電腦開(kāi)機時(shí)載入自己：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun "avserve2.exe" = C:WINDOWSavserve2.exe

蠕蟲(chóng)會(huì )監聽(tīng)TCP 1068往後的埠，掃描其上的隨機IP位址，它也會(huì )在TCP 埠5554上扮演FTP伺服器，并會(huì )在TCP埠9996建立一個(gè)遠端殼層。此外會(huì )在C:磁碟機下建立一個(gè)win2.log的檔案，里面記錄受駭主機的IP位址。并會(huì )將自己寫(xiě)入到Windows目錄下，名稱(chēng)使用 #_up.exe，如：

c:WINDOWSsystem3211583_up.exe

c:WINDOWSsystem3216913_up.exe

c:WINDOWSsystem3229739_up.exe

此外可能會(huì )導致LSASS.EXE毀壞，而系統將自行重新啟動(dòng)。

防毒產(chǎn)品的使用者應該立刻更新系統的DAT檔，以防御可能的攻擊。若想手動(dòng)移除此一病毒，請依下列方式進(jìn)行：

1. 重新開(kāi)機到安全模式 (開(kāi)機時(shí)按F8鍵)，然後由WINDOWS目錄下刪除AVSERVE2.EXE (一般為c:windows或c:winnt)。

2. 刪除以下登錄檔的”avserve2”機碼：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

3. 重新啟動(dòng)電腦至正常模式。

至於受到感染的系統，必須安裝Microsoft發(fā)布的系統更新後才能完全關(guān)閉此弱點(diǎn)：

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

本文由 CTIMES 同意轉載，原文鏈接:http://www.ctimes.com.tw/DispCols/cn/VIRUS/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/040504164406.shtmll