账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
新蠕虫危险程度升高 可摇控受骇计算机
用户不做任何事情也会受到感染或散布病毒

【CTIMES / SMARTAUTO ABC_1 报导】    2004年05月04日 星期二

浏览人次:【8953】

「WORM_SASSER」 杀手病毒危害等级升高,入侵防御公司Network Assocoates今(4)日宣布McAfee AVERT (防毒紧急响应小组) 发布W32/Sasser.worm.b 蠕虫为中度风险。趋势科技更将危险程度定为高度红色病毒警戒。

该公司指出,这只自我执行的蠕虫会攻击Microsoft Windows的弱点 [MS04-11 弱点 (CAN-2003-0533)]。该蠕虫透过avserve2.exe挡案形式散布,但与最近出现的蠕虫不同的是,该蠕虫并不透过电子邮件散布,即使用户不做任何事情也会受到感染或散布病毒 (藉由攻击微软操作系统漏洞)。该蠕虫会摇控受骇的计算机自动下载并执行危险的程序代码。由于在全球扩散的趋势逐渐升高,因此评定为中度风险。

该病毒的中毒征状是会将自己写入到Windows目录下的avserve2.exe,并建立下列机码以在计算机开机时加载自己:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run "avserve2.exe" = C:\WINDOWS\avserve2.exe

蠕虫会监听TCP 1068往后的埠,扫描其上的随机IP地址,它也会在TCP 埠5554上扮演FTP服务器,并会在TCP埠9996建立一个远程壳层。此外会在C:磁盘驱动器下建立一个win2.log的档案,里面记录受骇主机的IP地址。并会将自己写入到Windows目录下,名称使用 #_up.exe,如:

c:\WINDOWS\system32\11583_up.exe

c:\WINDOWS\system32\16913_up.exe

c:\WINDOWS\system32\29739_up.exe

此外可能会导致LSASS.EXE毁坏,而系统将自行重新启动。

防毒产品的用户应该立刻更新系统的DAT档,以防御可能的攻击。若想手动移除此一病毒,请依下列方式进行:

1. 重新启动到安全模式 (开机时按F8键),然后由WINDOWS目录下删除AVSERVE2.EXE (一般为c:\windows\或c:\winnt\)。

2. 删除以下登录档的”avserve2”机码:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. 重新启动计算机至正常模式。

至于受到感染的系统,必须安装Microsoft发布的系统更新后才能完全关闭此弱点:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

關鍵字: VIRUS  网际安全系统 
相关新闻
McAfee与Sony Ericsson合作提供手机安全解决方案
病毒作者兔死狐悲 发新病毒嘲笑震荡波作者
微软反毒悬赏计划首度奏效 18岁嫌犯遭起诉
挪威ISP的IRC服务器成为攻击指令中心
8月十大病毒都是老面孔
comments powered by Disqus
相关讨论
  相关文章
» C-ITS: LTE-V2X与ETSI ITS-G5比较
» 汽车网路需要深度数据包检测技术
» 如何导入边缘服务而不改变核心网路
» Bluetooth Meshing 的新可能
» 切入大数据战场


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8BN5SQ6PASTACUK2
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw