記者親身體驗『震蕩波』病毒 教您一分鍾搞定

　　北方網消息：就在瑞星公司於4月29日晚剛發布一級安全警報之後，5月1日上午，全球反病毒監測網就已經截獲利用微軟操作系統重大漏洞的高危病毒——『震蕩波』病毒(I-Worm/Sasser)，該病毒將使互聯網和用戶電腦系統再次面臨重大危險，其破壞程度有可能超過『衝擊波』。

　　在瑞星此次發布的一級安全警報中稱，目前有90%以上的Windows2000/XP/2003用戶沒有給一個系統漏洞打上補丁程序，而『震蕩波』病毒正是通過這個被微軟定義為最高級別的漏洞進行傳播的，因此反病毒工程師預測將有眾多電腦被該病毒攻擊，極有可能造成大規模泛濫。

　　根據分析，『震蕩波』病毒會在網絡上自動搜索系統有漏洞的電腦，並直接引導這些電腦下載病毒文件並執行，因此整個傳播和發作過程不需要人為乾預。只要這些用戶的電腦沒有安裝補丁程序並接入互聯網，就有可能被感染。

　　今天北方網記者機器也不幸中招，親身體驗『震蕩波』病毒的發作狀況：上午記者工作中（系統為XP）突然發覺網絡不暢，IE瀏覽均顯示找不到服務器，但通過DOS窗口ping運行命令測試，發現網絡是通的。覺得奇怪，沒太在意，重啟機器，恢復正常。沒想到，幾分鍾後故障依舊，而且這次重啟後明顯感覺機器速度變慢，打開『任務管理器』查看進程，發現一名為avserve.exe的程序CPU佔用率非常的高，而且穩定。初步感覺可能是中毒了，馬上結束該進程，從注冊表啟動項裡刪除該程序，在C盤XP目錄下的system32目錄下找到該程序，刪除，下載了新的病毒庫，查毒，未發現病毒（因為是新病毒）。再次重啟機器，再次發現該病毒，在這時，突然彈出下圖窗口，LSASS.exe進程意外中止，系統將在60秒內關機，聯想到大名鼎鼎的『衝擊波』，確信一種新病毒來襲，而且又是來勢凶猛，由於放假，估計5.1後大面積發作可能性較大。

　　記者支招，一分鍾搞定『震蕩波』病毒：由於殺毒軟件無效，隨即記者到微軟官方網站找到補丁程序，下載安裝，再次結束avserve.exe進程、刪除文件、改注冊表，再重啟，一切恢復正常，使用至晚上11點30分，無恙。看來搶在系統自動關閉之前打上補丁，刪除病毒進程和文件這一招管用。

　　簡要技術分析

　　據瑞星反病毒專家王耀華介紹，該病毒會通過FTP的5554端口攻擊電腦，使系統文件崩潰，造成電腦反復重啟。病毒如果攻擊成功，會在C:\WINDOWS目錄下產生名為avserve.exe的病毒體，用戶可以通過查找該病毒文件來判斷是否中毒。

　　『震蕩波』病毒會隨機掃描IP地址，對存在有漏洞的計算機進行攻擊，並會打開FTP的5554端口,用來上傳病毒文件，該病毒還會在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒鍵值進行自啟動。

　　該病毒會使『安全認證子系統』進程---LSASS.exe崩潰，出現系統反復重啟的現象，並且使跟安全認證有關的程序出現嚴重運行錯誤。

　　拯救行動

　　各大殺毒軟件公司已於5月1日晚進行了緊急昇級，下載最新的病毒庫可以有效查殺該病毒。

　　此外，瑞星還向廣大用戶提供了震蕩波病毒的專殺工具下載，用戶可以登陸：service/technology/RS_sasser.htm網址免費下載。

　　如何防范『震蕩波』病毒

　　首先，用戶必須迅速下載新病毒『震蕩波』微軟補丁程序，對於該病毒的防范，china/technet/security/bulletin/ms04-011.mspx。

　　然後迅速昇級殺毒軟件到最新版本，然後打開個人防火牆，將安全等級設置為中、高級，封堵病毒對該端口的攻擊。

　　如果用戶已經被該病毒感染，首先應該立刻斷網，手工刪除該病毒文件，然後上網下載補丁程序，並昇級殺毒軟件或者下載專殺工具。手工刪除方法：查找該目錄C:\WINDOWS目錄下產生名為avserve.exe的病毒文件，將其刪除。（北方網：趙海濤）

　　相關鏈接：

　　新病毒『震蕩波』爆發 危害直逼『衝擊波』[補丁下載]

　　預防『震蕩波』病毒 微軟補丁、專殺工具下載