今天网上爆发了一种称为“震荡波 Sasser”的恶性病毒,传播方式类似于去年8月出现的“冲击波”病毒。传播速度极快,只要联网的计算机都有可能中毒。该病毒利用了微软MS04-011安全公告中所描述的漏洞。希望各位老师和同学立刻安装微软提供的补丁文件,并升级防毒软件的病毒库。
染毒计算机的主要症状为:
(1)进程中出现 avserve.exe 和 *****_up.exe,占用大量资源;
其中*****为从0~65535之间的随机数字
(2)出现LSA Shell错误;
(3)导致系统进程lsass.exe错误,并进而导致计算机强迫重启;
(4)有网友反馈计算机的管理员权限帐户口令被修改(未证实)。
简体中文WINDOWS补丁下载
教育网
winnt workstation 4.0 中文版+sp6补丁程序
http://www.ccert.edu.cn/pub/patch/MS/winnt/WindowsNT4Workstation-KB835732-x86-CHS.EXE
winnt server 4.0 中文版+sp6补丁程序
http://www.ccert.edu.cn/pub/patch/MS/winnt/WindowsNT4Server-KB835732-x86-CHS.EXE
window2000 中文版 +(sp1或sp2或sp3或sp4)补丁程序
http://www.ccert.edu.cn/pub/patch/MS/win2000/Windows2000-KB835732-x86-CHS.EXE
winxp 中文版+sp1补丁程序
http://www.ccert.edu.cn/pub/patch/MS/xp/WindowsXP-KB835732-x86-CHS.EXE
win2003 中文版补丁程序
http://www.ccert.edu.cn/pub/patch/MS/win2003/WindowsServer2003-KB835732-x86-CHS.EXE
关于此补丁的详细资料
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
如果不幸中了该病毒可以采取一下措施清除该病毒:
1、安全模式启动
重新启动系统同时按下按F8键,进入系统安全模式
2、注册表的恢复
点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双
击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run ,并删除面板右侧的"avserve"="c:\winnt\avserve.exe"
3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹",查找文
件"avserve.exe"和"*_up.exe",并将找到的文件删除。
4、安装系统补丁程序
到以下微软网站下载安装补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
或者在IE浏览器的工具->Windows Update升级系统。
5、重新配置防火墙
重新配置边界防火墙或个人防火墙关闭TCP端口5554;
2026世界杯官网计算机应急组 http:/cert 2004.5.1
