光电工程师社区

标题: “震荡波”病毒专题 [打印本页]
作者: suncon    时间: 2004-5-5 03:51
标题: “震荡波”病毒专题
“震荡波”病毒专题 “震荡波”病毒专题 “五一”黄金周第一日,一个新的病毒--“震荡波(Worm.Sasser)”开始在互联网肆虐。该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其破坏程度有可能超过“冲击波”。值得注意的是,早在4月13日,微软对此漏洞发布过级别为严重的安全公告,4月29日,瑞星互联网攻防实验室对此发布过一级安全警报...  5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹,该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的,危害性极大,目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞,这些操作系统的用户只要一上网,就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。 一、出现系统错误对话框  被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。 二、系统资源被大量占用  病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。  三、内存中出现名为 avserve 的进程  病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。  四、系统目录中出现名为 avserve.exe 的病毒文件 病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒文件。  五、注册表中出现病毒键值  病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\avserve.exe " 。   如果用户的电脑中出现下列现象之一,则表明已经中毒,就应该立刻采取措施清除该病毒。 已经中毒如何清除病毒 ·升级瑞星至最新版杀毒 ·利用瑞星震荡波病毒专杀查杀 用户还可以到http://it.rising.com.cn/service/technology/RS_sasser.htm网址下载免费的“震荡波病毒专杀工具”然后对电脑进行病毒扫描。 ·手工清除 手工清除四部曲。 针对这一严峻形势,瑞星宣布于5月2日凌晨两点、用中英文两种版本全球发布其独家的内存补丁工具。该补丁程序数据量非常小(80K)、很容易下载,适用于所有被“震荡波”病毒威胁和已经被感染的用户。该补丁程序下载地址为:http://download.rising.com.cn/zsgj/RavSasser.exe。   如果用户来不及下载、或者由于版本问题无法下载微软的补丁程序,或下载的补丁无法正常安装,请立刻下载瑞星提供的、只有80K大小内存补丁工具。该程序拥有三个明显的优点:一是数据量非常小,可以在机器重启之前迅速下载;二是适用于所有无法正常下载微软补丁程序的用户;三是该补丁集成在瑞星“震荡波”专杀工具中,因此瑞星的“震荡波”专杀工具既能查杀“震荡波”病毒,又能有效防止利用MS04-011漏洞的后续版本的病毒。   瑞星研发部总经理王耀华表示,这是全球首次由反病毒厂商向用户提供内存补丁工具,解决了用户无法正常下载微软补丁程序、以及杀了毒再中毒的问题,是全球安全业界的一个创举,受益者不光包括国内用户,还有国外的用户。 1、断网打补丁。 如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到以下地址http://www.microsoft.com/china/t ... letin/ms04-011.mspx下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。 2、清除内存中的病毒进程 要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。 3、删除病毒文件 病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为随机字符串_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。 4、删除注册表键值 该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%WINDOWS%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器,找到该病毒键值,然后直接删除。

ABMqLw9v.jpg (190.01 KB, 下载次数: 3)

“震荡波”病毒专题

“震荡波”病毒专题

bYEsRS7g.jpg (67.4 KB, 下载次数: 3)

“震荡波”病毒专题

“震荡波”病毒专题
作者: suncon    时间: 2004-5-5 16:14
微软出的震荡波移除工具

http://bbs.long-jf.com/0429/user802...B841720-ENU.rar 微软网站上的地址:http://www.microsoft.com/downloads/...;DisplayLang=en

作者: 冲浪高手    时间: 2004-5-10 02:29
此病毒的制造者——德国一少年在家中被抓,将被判处五年监禁
作者: 亚洲之鹰    时间: 2004-5-11 20:08

厉害

作者: nick9    时间: 2004-5-13 16:13

我们学校好多机器都中招了

作者: tw    时间: 2004-5-13 18:37

好像我的Windows 2003没有什么问题啊?

我已经很久不用防火墙和杀毒软件了!

只是经常更新系统





欢迎光临 光电工程师社区 (http://bbs.oecr.com/) Powered by Discuz! X3.2