[注意]高危病毒“震荡波”开始在中国互联网上泛滥！

探长 · 发表于 2004-5-2 22:53:34

<FONT COLOR="RED">瑞星全球反病毒监测网５月１日率先截获利用微软最高级别系统漏洞的高危病毒——“振荡波”病毒（I-Worm/Sasser ），这一病毒将使互联网和用户电脑系统再次面临重大危险，其破坏程度有可能超过“冲击波”。

在瑞星为此发布的一级安全警报中称，目前有９０％以上的Windows2000/XP/2003用户没有给一个系统漏洞打上补丁程序，而“振荡波”病毒正是通过这个被微软定义为最高级别的漏洞进行传播的，因此瑞星反病毒工程师预测将有众多电脑被这一病毒攻击，极有可能造成大规模泛滥。

根据分析，“振荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。

“振荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。

瑞星反病毒专家王耀华介绍，这一病毒会通过FTP 的5554端口攻击电脑，一旦攻击失败会使系统文件崩溃，造成电脑反复重启；病毒如果攻击成功，病毒会将文件自身传到对方机器并执行病毒程序，然后在C:WINDOWS目录下产生名为avserve.exe的病毒体，继续攻击下一个目标，用户可以通过查找该病毒文件来判断是否中毒。

“振荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中建立："avserve.exe"=%windows%avserve.exe的病毒键值进行自启动。

王耀华说，如果用户已经被这一病毒感染，首先应该立刻断网，手工删除病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。</FONT>

----------------------------------------------------------------------------------------------转自：新华网

［此帖子已被探长在 2004-5-2 22:54:22 编辑过］

轰天雷 · 发表于 2004-5-2 23:15:14

晕到~~我该做的都做了~~~不会有事吧……

autoniao · 发表于 2004-5-2 23:16:29

多注意下就是了

地场卫 · 发表于 2004-5-3 08:40:13

叫“震荡波”啊，哈哈哈哈，下一个该是“声波”了吧？

Thrust · 发表于 2004-5-3 11:01:45

声波之后是月潮波

不怕反正是在学校上网

阅读模式 · 发表于 2004-5-3 14:02:27

多谢探长兄！

探长 · 发表于 2004-5-3 19:52:31

补充说明：
5月1日，国内反病毒软件公司先后截获一个利用Windows平台Lsass漏洞的新病毒——“震荡波”。该病毒的潜在危害有可能超过去年爆发的“冲击波”病毒。

　　尽管微软已经发布了修复Lsass漏洞的补丁程序，但据估计目前有90%以上的Windows 2000/XP/2003用户没有给一个系统漏洞打上补丁。根据分析，“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。中招后的系统将开启上百个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。

　　瑞星反病毒专家王耀华介绍，该病毒会通过FTP的5554端口攻击电脑，一旦攻击失败会使系统文件崩溃，造成电脑反复重启；病毒如果攻击成功，病毒会将文件自身传到对方机器并执行病毒程序，然后在C:WINDOWS目录下产生名为avserve.exe的病毒体，继续攻击下一个目标，用户可以通过查找该病毒文件来判断是否中毒。

　　“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run中建立："avserve.exe"=%windows%avserve.exe的病毒键值进行自启动。

　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。

　　建议用户立即到微软的站点去下载并安装该漏洞的补丁（点击）；立即升级反病毒软件的病毒数据库；打开个人防火墙屏蔽端口：5554和1068，防止名为avserve.exe的程序访问网络。用户还可以下载瑞星公司免费的专杀工具（点击）。如果用户来不及下载微软的补丁，或下载的补丁无法正常安装，也可以下载瑞星独家提供的一个只有80K大小的补丁（点击）。

　　如果用户已经被该病毒感染，首先应该立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。

微软补丁下载：
<A TARGET=_blank HREF="http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx">http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx</A>

振荡波专杀工具：<A TARGET=_blank HREF="http://download.rising.com.cn/zsgj/RavSasser.exe">http://download.rising.com.cn/zsgj/RavSasser.exe</A>

地场卫 · 发表于 2004-5-3 20:01:51

我的一个同学已经中了，提醒大家一下，avserve2.exe也可能是病毒文件。

		自动登录	找回密码
密码			立即注册