PSS 安全响应小组报警－－震荡波蠕虫病毒及其变种

发布日期： 2004年05月01日 | 更新日期： 2004年05月03日

严重等级：严重
发布日期：2004 年 5 月 1 日
更新日期：2004 年 5 月 12 日

PSS 安全小组正在更新该警报，以使客户知道“W32.Sasser.worm”及其变种。目前，Microsoft 已经知道了原始的震荡波（Sasser）病毒及其 B、C、D、E 和 F 变种。所有蠕虫病毒都利用了 2004 年 4 月 13 日发布的 Microsoft 安全更新 MS04-011 中发现的本地安全性授权子系统服务（Local Security Authority Subsystem Service，LSASS）的漏洞。

Microsoft 鼓励客户通过立即安装 Microsoft 安全公告 MS04-011（Microsoft Security Bulletin MS04-011 <www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx>）来保护自己不受病毒侵害。

受影响的产品：Windows 2000、Windows XP

攻击力：远程执行代码

技术细节：

欲了解 Microsoft 关于震荡波蠕虫病毒及其变种的最新技术信息，请访问：

•	观看美国太平洋时间 2004 年 5 月 4 日上午 9:00 播出的关于震荡波蠕虫病毒的 Microsoft 技术更新网络广播的按需点播版本： http://go.microsoft.com/fwlink/?LinkId=28571

欲向参加 Microsoft 病毒信息联盟（Microsoft Virus Information Alliance，VIA）的杀毒软件厂商了解有关该蠕虫病毒的详细信息，请访问以下网站：

•

Computer Associates：

•	震荡波变种 A（Sasser.A）：http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
•	震荡波变种 B（Sasser.B）：http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39021
•	震荡波变种 C（Sasser.C）：http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39025
•	震荡波变种 D（Sasser.D）：http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39037
•	震荡波变种 E（Sasser.E）：http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39087

•

F-secure：

•	震荡波病毒及其变种：http://www.f-secure.com/v-descs/sasser.shtml

•

Global Hauri：

•	震荡波病毒及其变种：http://www.globalhauri.com/html/notice/notice_read.html?uid=447

•

Network Associates：

•	W32/Sasser.worm.a：http://vil.nai.com/vil/content/v_125007.htm
•	W32/Sasser.worm.b：http://vil.nai.com/vil/content/v_125008.htm
•	W32/Sasser.worm.d：http://vil.nai.com/vil/content/v_125012.htm

•

Norman：

•	震荡波变种 A（Sasser.A）：http://www.norman.com/Virus/Virus_descriptions/14919/en-us 震荡波变种 B（Sasser.B）：http://www.norman.com/Virus/Virus_descriptions/14920/en-us

•

Panda：

•	震荡波变种 A（Sasser.A）：http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46865&sind=0
•	震荡波变种 B（Sasser.B）：http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46875&sind=0
•	震荡波变种 C（Sasser.C）：http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46892&sind=0
•	震荡波变种 D（Sasser.D）：http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46915&sind=0
•	震荡波变种 E（Sasser.E）：http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=47232

•

Sophos：

•	震荡波变种 A（Sasser.A）：http://www.sophos.com/virusinfo/analyses/w32sassera.html
•	震荡波变种 B（Sasser.B）：http://www.sophos.com/virusinfo/analyses/w32sasserb.html
•	震荡波变种 D（Sasser.D）：http://www.sophos.com/virusinfo/analyses/w32sasserd.html

•

Symantec：

•	震荡波变种 A（Sasser.A）：http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html
•	震荡波变种 B（Sasser.B）：http://www.sarc.com/avcenter/venc/data/w32.sasser.b.worm.html
•	震荡波变种 C（Sasser.C）：http://www.sarc.com/avcenter/venc/data/w32.sasser.c.worm.html
•	震荡波变种 D（Sasser.D）：http://www.sarc.com/avcenter/venc/data/w32.sasser.d.html
•	震荡波变种 E（Sasser.E）：http://www.sarc.com/avcenter/venc/data/w32.sasser.e.worm.html

•

Trend Micro：

•	震荡波变种 A（Sasser.A）：http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
•	震荡波变种 B（Sasser.B）：http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
•	震荡波变种 C（Sasser.C）：http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C
•	震荡波变种 D（Sasser.D）：http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
•	震荡波变种 E（Sasser.E）：http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.E

欲了解有关 Microsoft 的病毒信息联盟（Virus Information Alliance）的更多信息，请访问以下链接：

•	http://www.microsoft.com/technet/security/topics/virus/via.mspx

请与您的杀毒厂商联系，以了解有关该病毒的更多信息：

预防：

安装最新的 Microsoft 安全公告 MS04-011

•	http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

已启用 Windows XP Firewall（防火墙）的用户可以得到保护，避免该蠕虫病毒从 TCP 端口 445 发起攻击。大多数第三方防火墙也都默认阻截该攻击向量。

此外，Internet Security and Acceleration（ISA）Server 脚本也已经发布，能够直接阻截与震荡波蠕虫病毒有关的流量，使其无法针对由 ISA Server 2000 或 ISA Server 2004 控制的网络输入或输出 Internet 流量。

欲了解更多信息并获得这些脚本，请访问 http://isatools.org，并获得以下脚本：

•	ISA 2000：block_sasser.vbs

•	ISA 2004：block_sasser_2k4.vbs

还原：

如果您的计算机已经被该病毒感染，您应该首先采取以下步骤来防止日后受到感染

•	为了防止日后受到感染，请立即安装 Microsoft 安全公告 MS04-011 <www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx> 。

一旦您已经应用了更新以防止日后受到感染，随后可以采取措施，清除目前所感染系统中的病毒。要想清除系统目前所感染的病毒，请联系您的首选杀毒厂商或参阅 Microsoft 的杀毒工具。目前，Microsoft 的杀毒工具能够成功清除原始的震荡波蠕虫病毒及其 B、C、D、E 和 F 变种。

如果您的计算机很容易感染蠕虫病毒，该蠕虫病毒可能导致 LSASS.EXE 遭到破坏，从而可能使操作系统在 60 秒后关机。通过使用内建的“shutdown.exe -a”命令，Windows XP 系统不会出现这一关机问题。Windows 2000 系统可能无法避免该问题。

在 Windows 2000 系统上，为了保护 LSASS.EXE 不被破坏（从而重启操作系统），请拔掉网线（或在 LSASS.EXE 遭到破坏之前禁用网络适配器），然后执行以下任何一个步骤来阻止蠕虫病毒破坏 LSASS.EXE：

创建一个名为 %systemroot%\debug\dcpromo.log 的文件，并将其设置为只读。为此，您应该输入以下命令：

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

注意：这是一项缓解病毒破坏的最有效的技术，因为其通过使易受攻击的代码永不执行而完全消除了这个漏洞。这种变通办法可应用于发送到任何易受攻击的端口的数据包。

在所有网络适配器上启用高级 TCP/IP 筛选功能，以阻截所有未经请求的入站 TCP 数据包

•	点击“开始”，“运行”，输入“Control”，然后按下回车键
•	在新的控制面板窗口中，双击“网络和拨号上网连接”
•	右击连接到 Internet 或已被感染的网络的“适配器”，然后选择“属性”
•	双击“Internet 协议（TCP/IP）
•	点击“高级”
•	选择“选项”选项卡
•	双击“TCP/IP 筛选”
•	选中“启用 TCP/IP 筛选（所有适配器）”复选框
•	选择“TCP 端口”上的“只允许”按钮注意：不要向该列表添加任何端口，，也不要选择“UDP 端口” 标签（label）上的“只允许”按钮
•	按“确定”四次，然后在看到屏幕上提示重启系统（您必须重启，以使这些设置生效）时选择“是”

这是一种备选缓解技术，可用于阻截通过 TCP 协议利用该漏洞的所有攻击。这不能防止异常的 UDP 数据包到达易受攻击的端口，也不能完全修复如上方步骤所述的漏洞。

输入以下命令行可暂时停止服务器服务：

net stop server /y

注意：该技术只能阻截通过 TCP 139 和 445 发起的利用漏洞进行攻击的尝试。

如果计算机已经被震荡波蠕虫病毒感染，那么一旦插回网线进行更新下载时，该病毒可能对本地网络连接发其泛洪（flooding）攻击。要想暂时禁用该蠕虫，应使用“任务管理器”消除以下进程：

•	结束任何以四个或更多数字打头并带有“_up.exe”的进程（如：12345_up.exe）
•	结束任何以“avserve”打头的进程（例如，avserve.exe、avserve2.exe）
•	结束任何名为“skynetave.exe”的进程
•	结束任何名为“hkey.exe”的进程
•	结束任何名为“msiwin84.exe”的程序
•	结束任何名为“wmiprvsw.exe”的进程注意：不要结束名为“wmiprvse.exe”的进程，它是一个合法的系统程序。

当结束蠕虫病毒进程后，就应该可以下载安全更新和震荡波（Sasser）病毒的杀毒工具。

PSS 安全响应小组

返回页首