病毒名：Worm.Sasser.d

　　病毒别名：震荡波.D

　　行为类型：WINDOWS下的蠕虫程序

　　概要：

　　此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。并开辟128个线程扫描网络。

　　详细分析：

　　一、这是一个类似冲击波的病毒，利用微软操作系统的缓冲区溢出漏洞(MS04-011)远程执行代码。

　　受感染的操作系统有：

　　Microsoft Windows NT Workstation 4.0 Service Pack 6a

　　Microsoft Windows NT Server 4.0 Service Pack 6a

　　Microsoft Windows NT Server 4.0终端服务器版Service Pack 6

　　Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3,和Microsoft Windows 2000 Service Pack 4

　　Microsoft Windows XP和Microsoft Windows XP Service Pack 1

　　Microsoft Windows XP 64-Bit Edition Service Pack 1

　　Microsoft Windows XP 64-Bit Edition Version 2003

　　Microsoft Windows Server 2003

　　Microsoft Windows Server 2003 64-Bit Edition

　　二、病毒的破坏行为：

　　1.首先拷贝自身到windows目录，名为%WINDOWS%\skynetave.exe(16384字节)，然后登记到自启动项。

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　skynetave.exe = %WINDOWS%\skynetave.exe

　　2.开辟线程，在本地开辟后门。监听TCP 5554端口(支持USER、PASS、PORT、RETR和QUIT命令)

　　被攻击的机器主动连接本地5554端口，把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。

　　3.病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，

　　如果试探成功，则运行一个新的病毒进程对该目标进行攻击，把该目标的ip地址保存到“c:\win2.log”。

　　4.利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染

　　此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作，以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。

　　5.溢出代码会主动从原机器下载病毒程序，运行起来，开始新的攻击。

　　三、危害：

　　病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞，该病毒在网络上传播迅速，造成网络瘫痪。

　　四、清除方法:

　　请用户立即给计算机打最新的补丁：

　　www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

　　打补丁需要重新启动，如果机器不能重新启动(比如核心网络服务器)，

　　可以下载瑞星的内存专杀(全球独家提供)，下载地址download.rising.com.cn/zsgj/RavSasser.exe。

　　手动清除：

　　(1)打开注册表编辑器,删除如下键值<如果存在的话>:

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run

　　"skynetave.exe" = "%WINDOWS%\skynetave.exe"

　　(2)打开任务管理器查看是否存在进程名为: skynetave.exe,终止它

　　(3)删除%WINDOWS%\skynetave.exe

　　注：%WINDOWS%是指系统的windows目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS, Win2K下默认为:C:\WINNT。