通知公告

关于加强防范\"震荡波\"病毒的紧急通知

  • 时间:2006-11-11
  • 来源:
  • 作者:
  • 点击量:
预审 审核 焦庆争

关于加强防范"震荡波"病毒的紧急通知

  近期,互联网上出现了一种新型恶性病毒--"震荡波"(Worm.Sasser),该病毒利用windows平台的Lsass漏洞进行广泛攻击,并通过命令易受感染的机器下载特定文件进行传播,影响网络正常运行。请广大计算机用户及时采取有关防治措施,安装系统补丁,升级杀毒软件,避免受到该病毒感染传播。

病毒名称:“震荡波”(Worm_Sasser)
其它英文命名:Worm.Sasser.b (金山)
        I-Worm/Sasser.c (江民)
        WORM_SASSER.B (Trend)
        Worm.Sasser.b (瑞星)
        W32/Sasser.worm.b (McAfee)
        Worm.Win32.Sasser.b (Kaspersky)
        W32/Sasser-B (Sophos)
        Win32.Sasser.B (Computer Associates)
        W32.Sasser.B.Worm (Symantec)

感染系统:Windows 2000, Windows NT,Windows Server 2003, Windows XP

病毒特征:

  通过邮件和共享文件夹进行传播,病毒驻留内存,修改注册表,在系统目录下创建文件,使用UPX压缩。

1、生成病毒文件

  病毒运行后,在%Windows%目录下生成自身的拷贝,名称为avserve.exe或avserve2.exe。
(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT)
  用户可以通过在上述文件夹中搜索这两个文件以判断是否已被感染。

2、修改注册表项

  病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
"avserve.exe" = %SystemRoot%\avserve.exe 或
"avserve2.exe" = %SystemRoot%\avserve2.exe

3、通过系统漏洞主动进行传播

  该病毒利用了Windows LSASS的一个已知漏洞(MS04-011),这个一个缓冲溢出漏洞,后果是使远程攻击者完全控制受感染系统。

4、危害性

  受感染的系统可能会出现倒计时对话框,频繁重新启动,系统运行速度明显减慢或死机,上网只能持续很短时间就无法浏览甚至断网等现象。病毒扫描IP地址,目标端口为TCP 445会对网络性能有一定影响,尤其局域网可能造成网络瘫痪。

清除该病毒的相关建议:

1、下载"震荡波"病毒专杀工具及针对Windows LSASS漏洞的补丁程序:
  专杀工具:“震荡波(Worm.Sasser)”病毒专杀工具
  系统补丁程序:Windows 2000  Windows XP  Windows 2003 server

2、安全模式启动

  重新启动系统同时按下按F8键,进入系统安全模式(safe mode);

3、运行"震荡波"病毒专杀工具并安装系统补丁程序 .

赭山校区

地址:安徽省芜湖市北京中路2号

邮编:241000

花津校区

地址:安徽省芜湖市九华南路189号

邮编:241002     电话:(0553)5910027

天门山校区

地址:安徽省芜湖市九华北路171号

邮编:241008

教育基金会

地址:安徽省芜湖市北京中路2号

邮编:241000