5月1日,冠群金辰公司病毒研发中心接到用户报警,捕捉到Win32. Sasser(震荡波)病毒,该病毒利用微软发布的最新安全漏洞-LSASS 漏洞(MS04-011 公告)进行传播,所有Windows 2000/XP/Server 2003的操作系统都存在该漏洞,这些操作系统的用户如果未安装此漏洞的补丁,都有可能受到该病毒的攻击。计算机一旦感染该病毒,病毒将在系统中开启上百个线程,并试图攻击网上其他的用户,造成机器运行缓慢、网络堵塞,甚至使系统不停的进行倒计时重启。
病毒感染现象:
如果您的电脑出现下列现象,则您的机器已经中毒,请立刻采取措施清除该病毒。
1.系统运行速度缓慢
病毒一旦感染系统,会开启上百个线程,因此会占用大量系统资源,使CPU占用率达到100%,系统运行速度极为缓慢。
2.产生名为 avserve.exe 的进程
系统感染病毒后,会在内存中产生名为 avserve.exe 的进程,您可以同时按下Ctrl+Shift+Esc三个按键,调出"Windows任务管理器",然后在"进程"中查看系统中是否存在该进程。
3.在系统目录中驻留 avserve.exe 文件
病毒感染系统后,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒程序。
4.注册表键值
病毒感染系统后,会将"avserve.exe "="%WINDOWS%\avserve.exe ",加入注册表键值中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 。
清毒方法:
1. 自动清毒:
冠群金辰公司病毒研发中心建议您:立即更新KILL安全胄甲和KILL2004单机版的病毒引擎到最新的23.65.3版本,以检测并清除此病毒,在KILL中选择"系统修复"和"直接删除蠕虫/特洛伊"选项后,KILL可以自动清除该病毒并恢复注册表键值。
2. 手工清除病毒:
如果您没有安装杀毒软件,可以按以下步骤手工清毒:
1) 在Windows系统下,同时按下Ctrl+Shift+Esc三个按键,调出"Windows任务管理器",在"进程"中找到avserve.exe进程,然后,手工停止(结束)该进程。
2) 删除病毒在Windows系统目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒程序。
3) 删除病毒在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中产生的键值:"avserve.exe "="%WINDOWS%\avserve.exe "。
4) 重启动系统。
防护措施:
因为针对LSASS 漏洞的攻击程序已公布到互联网,该病毒的变种和利用此漏洞的其他病毒可能很快就会出现,且破坏性和攻击性可能更强,所以,您一定还要到微软站点下载最新的补丁文件,以防止机器再次被感染(这是防止计算机被此类病毒感染的最有效的方法)
http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx。
个人用户可以设置个人防火墙屏蔽端口:445、5554和1068,以防上网时被病毒攻击。(完)
