根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。
“震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。
瑞星反病毒专家王耀华介绍,该病毒会通过FTP 的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
病毒名称: Worm.Sasser
中文名称: 震荡波
威胁级别: 3A
病毒别名: W32/Sasser.worm [Mcafee]
病毒长度: 15,872Bytes
病毒类型: 漏洞蠕虫
受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003
破坏方式:
· 利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
·和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
·文件名为:avserve.exe
具体看
中文:
http://www.duba.net/c/2004/05/01/111490.shtml 英文:
http://securityresponse.symantec.com/avcen...asser.worm.html 无论什么情况,一旦你的LSASS.EXE进程被终止,系统提示重启
那么请务必检查你是否已经感染了病毒
请立即安装MS04-011补丁程序
http://www.microsoft.com/technet/security/...n/MS04-011.mspx 金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。
非金山或者瑞星用户迅速下载免费的专杀工具,下载地址为:
http://dl.pconline.com.cn/html/1/8/dlid=13058&dltypeid=1&pn=0&.html。 如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide » [重大警告][合并]lsass.exe突然停止要重启--—一波未平,一波又起 “震荡波”最新d型变种 
