"震荡波"解决办法!

667

"震荡波"解决办法! 先用瑞星“震荡波(Worm.Sasser)”病毒专杀工具杀一遍再打补丁 微软关于该漏洞的补丁 Windows XP 安全更新程序 (KB835732) http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE Windows 2000 安全更新程序 (KB835732) http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE Windows Server 2003 安全更新程序 (KB835732) http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE 瑞星“震荡波(Worm.Sasser)”病毒专杀工具： http://download.rising.com.cn/zsgj/RavSasser.exe 金山的“震荡波”专杀工具： http://download.duba.net/download/othertools/Duba_Sasser.EXE http://iduba.9958.com/download/tools/Duba_Sasser.EXE http://iduba.jbea.net/download/tools/Duba_Sasser.EXE http://iduba.wz163.com/download/tools/Duba_Sasser.EXE http://www.top86.com/iduba/download/tools/Duba_Sasser.EXE 瑞星的介绍： “震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。 　　“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。 　　瑞星反病毒专家王耀华介绍，该病毒会通过FTP 的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在C:\WINDOWS目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。 　　“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。 　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。

667

手工清除4部曲

1.断网打补丁

如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。

2.清除内存中的病毒进程

要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内存中查找名为“avserve.exe”的进程，找到后直接将它结束。

3.删除病毒文件

病毒感染系统时会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户需要到安全模式下或DOS系统下删除这些文件。

4.删除注册表键值

该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器，找到该病毒键值，然后直接删除。

667

如何快速识别震荡波(Worm.Sasser)病毒 www.rising.com.cn 2004-5-1 22:35:00 信息源:瑞星公司

广告 　　5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹，该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的，危害性极大，目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。 　　如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒。 　　一、出现系统错误对话框 　　被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。 点击看大图>>> 　　二、系统日志中出现相应记录 　　如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如下图所示的日志记录，则证明已经中毒。 　　 　　三、系统资源被大量占用 　　病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。 　　四、内存中出现名为 avserve 的进程 　　病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。 　　五、系统目录中出现名为 avserve.exe 的病毒文件 　　病毒如果攻击成功，会在系统安装目录（默认为 C:\WINNT ）下产生一个名为avserve.exe 的病毒文件。 　　六、注册表中出现病毒键值 　　病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值： "avserve.exe "="%WINDOWS%\avserve.exe " 。

667

=================================================== 瑞星震荡波(Worm.Sasser)病毒专杀工具 2.3 软件语言： 简体中文 软件类别： 国产软件 / 免费版 / 系统安全 运行环境： Win9x/NT/2000/XP/ 软件大小： 80KB 软件简介： 根据分析，“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。“震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。 2004年05月04日 2.3版增加震荡波变种Worm.Sasser.d。 2004年05月02日 2.2版增加震荡波变种Worm.Sasser.c。 2004年05月02日 2.1版增加震荡波变种Worm.Sasser.b。 2004年05月01日 2.0版增加独家的内存补丁工具。 2004年05月01日 1.0版可查杀病毒：Worm.Sasser。 下载

667

震荡波出现了变种！国内杀软尚未升级（诺顿已经有了专杀） 专杀（可杀变种）： http://securityresponse.symantec.com/avcenter/FxSasser.exe 微软：Sasser.A and Sasser.B Worm Removal Tool (KB841720)[[这是微软清除Sasser工具。 http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe

667

====================================================== “震荡波”（Worm_Sasser.A-D）病毒专杀工具 040508 软件语言： 简体中文 软件类别： 国产软件 / 免费版 / 系统安全 运行环境： Win9x/NT/2000/XP/ 软件大小： 612KB 软件简介： 病毒特征： 　　该病毒主要利用微软SSL安全漏洞进行攻击。微软证书服务中使用的PCT（Private Communication Technology）协议在处理客户端请求的时候存在一个远程缓冲区溢出漏洞，该协议是基于Microsoft IIS 5 WEB平台的Microsoft SSL（Secure Sockets Layer）库的实现。 生成病毒文件 　　病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe,avserve2.exe等，文件长度为15872字节，和在%System%目录下生成其它病毒文件 例如: c:\win.log : IP地址列表 c:\WINNT\avserve.exe : 蠕虫病毒文件本身 c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身 c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身 修改注册表项 　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建 "avserve"=”c:\WINNT\avserve.exe” 　 通过系统漏洞主动进行传播 　　病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。 　 危害性 　　受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A 类或B类子网地址，目标端口是TCP 445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。 　 清除该病毒的相关建议： 安全模式启动 　　重新启动系统同时按下按F8键，进入系统安全模式 注册表的恢复 　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的"avserve"="c:\winnt\avserve.exe" 删除病毒释放的文件 　　点击"开始--〉查找--〉文件和文件夹"，查找文件"avserve.exe"和"*_up.exe"，并将找到的文件删除。 安装系统补丁程序 　　到以下微软网站下载安装补丁程序： http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx 或者在ＩＥ浏览器的工具－>Windows Update升级系统。 重新配置防火墙 　　重新配置边界防火墙或个人防火墙关闭TCP端口5554; 下载