震荡波病毒WORM_SASSER.A利用微软最新发布的系统漏洞之一-LSASS的漏洞正在欧洲及国内迅速传播
Windows漏洞又现,震荡波趁隙而入
趋势科技(5月1日) 发布蠕虫病毒「WORM_SASSER.A」中度风险警报
趋势科技5月1日发布全球中度风险病毒警报,震荡波病毒WORM_SASSER.A利用微软最新发布的系统漏洞之一-LSASS的漏洞正在欧洲及国内迅速传播。这个漏洞是微软在4月13日时公布的,仅两个星期之后就被黑客利用。鉴于之前MS RPC以及MS SQL server 2000漏洞补丁缓慢的应用速度,趋势科技估计这个新漏洞的补丁许多用户还没有及时安装,所以这个病毒的潜在危害还是比较大的。
该病毒最重要的特点是利用了微软在安全公告板中描述的LSASS这一漏洞,主要原因是在该服务的主程序中存在未经检验的缓冲区,导致病毒可以利用一个经过精心构造的数据包造成LSASS缓冲溢出,从而执行病毒的指令,使病毒达到传播的目的。由于这个病毒利用系统本身的漏洞,直接攻击系统服务本身,导致重要的系统服务不能正常工作,从而严重影响正常使用。
由于该服务存在于基于NT的平台,而此类平台为客户所广泛使用导致病毒广泛传播。同时当LSASS遭到攻击时可以直观的观察到以下现象:
同时直观的可以观察到由于LSASS服务不正常,导致用户系统不断重启。
如同其他蠕虫一样,该病毒通过在Windows文件夹生成自身拷贝,同时通过修改注册表添加如下键值的方式实现系统启动时病毒被自动执行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runavserve.exe = %Windows%\avserve.exe
网友评论