4月30日凌晨，一种针对微软lsass服务的新蠕虫病毒已经出现。目前这种蠕虫病毒正在互联网中蔓延，我国普遍称之为“振荡波（Worm.Sasser）”。“振荡波”蠕虫病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此某些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。“振荡波”病毒发作会造成电脑出现系统反复重启、运行缓慢、无法正常上网等异常现象，类似于2003年夏天造成大规模电脑系统瘫痪的“冲击波”病毒。
　　由于此蠕虫病毒的传播是利用了微软Windows系统的LSASS漏洞，而微软公司早在半个月前就发布了紧急漏洞公告，并提供了相应的补丁程序，同时国内多家安全机构也向用户发布了紧急安全通告，因此截止到目前为止，此次蠕虫病毒的影响还仅局限在一个较小的范围内，受影响的系统大多数是未及时安装漏洞补丁的个人用户。由于微软LSASS漏洞与PCT漏洞所必需的补丁程序都是“MS04-011”程序包，因此当时已经安装补丁程序的用户，在此次蠕虫病毒爆发中将不受影响（微软LSASS漏洞详细利用、入侵、溢出程序将在《黑客防线》２００４年第六期全面介绍，请大家关注 ）。

“振荡波”蠕虫公告一

    安全公告CN-SA04-21
    发布日期：2004-5-3
    安全等级：三级
    公开程度：公共
    来源：CNCERT/CC

    4月30日凌晨，CNCERT/CC接到来自境外的报告，声称出现了一种针对微软lsass服务的新蠕虫。目前这种蠕虫正在互联网中蔓延，我国普遍称之为“振荡波（Worm.Sasser）”。CNCERT/CC对该蠕虫作了分析和监测，发现从5月2日20：00到5月3日7：00十一个小时内，此蠕虫传播次数达17多万次。从445端口的流量数据来看，5月2日7：00至5月3日7：00监测到的统计数据比5月1日7：00至5月2日7：00的统计数据有小幅增加。CNCERT/CC也收到国外多个CERT组织的消息，称445端口的数据流量有明显增长。
    同时,CNCERT/CC发现 “振荡波（Worm.Sasser）”的变种蠕虫Worm.Sasser-B也已出现，CNCERT/CC将继续密切关注该蠕虫的发展，及时发布有关信息。

分析：
蠕虫感染系统后会做以下操作：
1.在系统中创建一个互斥体以保证系统中在任何时候有且只有一个蠕虫进程在运行。
2.将自身拷贝为%Windir%\avserve.exe（注意%windir%是个变量，它根据系统版本和安装路径不同而有所不同，通常情况是c:\windows或者c:\winnt）
3.修改注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中添加"avserve.exe"="%Windir%\avserve.exe"值这个操作保证蠕虫在系统重新启动后能够自动运行。
4.利用AbortSystemShutdown函数（系统意外中断错误重起函数）使系统重新启动
5.开启一个FTP服务在TCP 5554端口，用来向其他被感染的机器传送蠕虫程序产生随机的网络地址，尝试连接这些地址的TCP 445端口并发送攻击程序,一旦攻击成功，蠕虫会在被攻击的机器的TCP 9996端口上创建一个远程的shell,然后利用这个远程的shell执行命令让被攻击的机器连接到发起攻击的机器的FTP 5554端口上下载蠕虫文件并运行。这个被下载来的蠕虫文件名是由4-5个随机的阿拉伯数字和_up.exe组成的（如23423_up.exe）
随机的地址按如下规则生成：
* 50%的机会是由系统随机生成的
* 25%的机会随机生成的ip地址的前八位（二进制）与本地的IP地址的前八位相同，也就是说在被感染IP地址相同的A类地址段中随机生成
* 25%的机会随机生成的ip地址的前16位（二进制）与本地IP地址的前十六位相同，也就是说在被感染IP地址相同的B类地址中随机生成
7.发起128个线程对上面产生的IP地址进行扫描。蠕虫的这个操作会占用大量的系统资源，可能使CPU的负载到达100%无法响应系统的正常请求。

 “振荡波(Worm.Sasser)”蠕虫类似于2003年的“冲击波(Worm.Blaster) ”蠕虫，利用系统漏洞自动传播，没有打补丁的电脑用户都会感染该蠕虫，从而使电脑出现系统反复重启、运行缓慢、无法正常上网等异常现象。但它们是两个不同的蠕虫，具体如下：
1. 利用的漏洞不同。“冲击波”蠕虫利用的是系统的RPC漏洞，蠕虫攻击系统时会使RPC服务崩溃，该服务是Windows操作系统使用的一种远程过程调用协议。“振荡波”蠕虫利用的是系统的LSASS服务，该服务是操作系统使用的本地安全认证子系统服务。
2. 产生的文件不同。“冲击波”蠕虫运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的蠕虫文件，“振荡波”蠕虫运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe的蠕虫文件。
3. 利用的端口不同。“冲击波”蠕虫会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。“振荡波”蠕虫会在本地开辟后门，监听TCP的5554端口，然后做为FTP服务器等待远程控制命令，并疯狂地试探连接445端口。
4. 攻击目标不同。“冲击波”蠕虫攻击所有存在有RPC漏洞的电脑和微软升级网站，而“振荡波”蠕虫攻击的是所有存在有LSASS漏洞的电脑，但目前还未发现有攻击其它网站的现象。

受影响的平台：
Microsoft Windows 2000;
Microsoft Windows XP;
Microsoft Windows Server 2003;

解决方案：

个人用户：
1. 安装相应的补丁程序
2. 如果无法及时安装补丁程序，请使用防火墙阻断以下端口的数据连接135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp

网络用户：
在边界路由器上添加如下规则阻断445端口上的数据
access-list 110 deny tcp any any eq 445
注意使用此规则后,可能会影响到Microsoft-DS服务的正常运行

检查是否被感染的方法：
如果系统中存在以下特征就表明您已被W32.Sasser蠕虫感染了
* 系统进程中存在名为avserve.exe的进程
* 系统目录中存在avserve.exe文件
* 注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中存在"avserve.exe"="%Windir%\avserve.exe值
注意蠕虫在传播过程中如果失败，会导致系统产生异常错误重启，如果您的系统发现这种情况，请尽快安装相应的补丁程序。

手工清除方法：
1. 下载相应的补丁程序到本地硬盘上
2. 断开网络连接；
3. 结束系统进程中的下列进程
avserve.exe
由4-5个随机的阿拉伯数字和_up.exe组成的名字进程（如23423_up.exe）
删除这些进程的对应文件；
4. 升级系统的杀毒软件到最新的病毒库
5. 使用杀毒软件进行全盘扫描，发现病毒后选择删除
6. 编辑注册表程序删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中的"avserve.exe"="%Windir%\avserve.exe值

7. 安装补丁程序后重新启动机器

使用专杀工具清除方法：
1. 下载专杀工具http://www.ccert.edu.cn/pub/tools/FxSasser.exe>（CCERT提供）
2. 关闭其他应用程序运行专杀工具

补丁下载：
http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx>