新华网天津5月9日电 (记者 张建新) 记者从国家计算机病毒应急处理中心了解到，"震荡波"(Worm_Sasser.A)病毒在5月1日出现后，在接下来的两天相继出现了它的两个变种Worm_Sasser.B和Worm_Sasser.C，变种C只在变种B的基础上作了轻微改动。这两个变种在传播机理上与"震荡波"相同，同样是利用Windows LSASS的一个已

　　知漏洞(MS04-011)。这个缓冲溢出漏洞的后果，是使远程攻击者完全控制被感染系

多媒体互动学英语 张国荣风采依旧一周年 金犊奖大陆初审揭晓 AC-尼尔森互联网调查

统。

　　病毒通过在已被感染的机器上开启TCP端口5554建立FTP服务器，并通过TCP445端口扫描随机的IP，向连接成功的机器发动攻击，进一步感染其它机器。受感染的系统可能会出现倒计时对话框，频繁重新启动，系统运行速度明显减慢或死机，上网只能持续很短时间就无法浏览甚至断网等现象。

　　国家计算机病毒应急处理中心提醒广大用户，下载补丁程序，修补漏洞，升级杀毒软件，启动"实时监控"功能，抵御病毒入侵。

　　"震荡波"(Worm_Sasser.A)病毒及其变种Worm_Sasser.B的技术报告如下。

　　病毒名称："震荡波"病毒(Worm_Sasser.A)

　　感染系统：WinNT/Win2000/WinXP/Win2003

　　病毒特征：

　　1、生成病毒文件

　　病毒运行后，在%Windows%目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件

　　例如: c:\win.log：IP地址列表c:\WINNT\avserve.exe：蠕虫病毒文件本身c:\WINNT\system32\11113_up.exe：可能生成的蠕虫文件本身c:\WINNT\system32\16843_up.exe：可能生成的蠕虫文件本身

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCA L_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建"avserve"=c:\WINNT\avserve.exe

　　3、通过系统漏洞主动进行传播

　　病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。

　　4、危害性

　　受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A类或B类子网地址，目标端口是TCP445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与"冲击波"病毒相类似。

　　清除该病毒的相关建议：

　　1、安全模式启动

　　重新启动系统同时按下按F8键，进入系统安全模式

　　2、注册表的恢复

　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，并删除面板右侧的"avserve"="c:\winnt\avserve.exe"

　　3、删除病毒释放的文件

　　点击"开始--〉查找--〉文件和文件夹"，查找文件"avserve.exe"和"*_up.exe"，并将找到的文件删除。

　　4、安装系统补丁程序

　　到以下微软网站下载安装补丁程序：www.microsoft.com/technet/security/bulletin/MS04-011.mspx 或者在IE浏览器的工具->Windows Update升级系统。

　　5、重新配置防火墙

　　重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996。

　　病毒名称："震荡波"变种B(Worm_Sasser.B)

　　感染系统：WinNT/Win2000/WinXP/Win2003

　　病毒特征：

　　1、生成病毒文件

　　病毒运行后，在%Windows%目录下生成自身的拷贝，名称为avserve2.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建"avserve2.exe"= %SystemRoot%\avserve2.exe

　　3、通过系统漏洞主动进行传播

　　病毒通过在已被感染的机器上开启TCP端口5554建立一个FTP服务器(机器A)，用来作为感染其它机器的服务器。并通过TCP445端口扫描随机的IP，当发现存在漏洞的系统连接成功时，被感染的计算机(机器A)向连接成功的机器(机器B)发动攻击，被攻击的计算机(机器B)将会自动连接已被感染计算机(机器A)的5554端口并通过FTP下载蠕虫的拷贝，名称为"*_up.exe"，其中*为4到5个数字的组合，如"11223_up.exe"。

　　由于该病毒本身编写的漏洞存在，它运行一段时间后会导致LSASS.EXE的崩溃，当LSASS.EXE崩溃时系统默认会重启。

　　4、危害性

　　受感染的系统可能会出现倒计时对话框，频繁重新启动，系统运行速度明显减慢或死机，上网只能持续很短时间就无法浏览甚至断网等现象。病毒扫描IP地址，目标端口为TCP 445会对网络性能有一定影响，尤其局域网可能造成网络瘫痪。

　　清除该病毒的相关建议：

　　1、安全模式启动

　　重新启动系统同时按下按F8键，进入系统安全模式

　　2、注册表的恢复

　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，并删除右侧面板中的"avserve2.exe" = %SystemRoot%\avserve2.exe

　　3、删除病毒释放的文件

　　点击"开始--〉查找--〉文件和文件夹"，查找文件"avserve2.exe"和"*_up.exe"，并将找到的文件删除。

　　4、安装系统补丁程序

　　到以下微软网站下载安装补丁程序：www.microsoft.com/technet/security/bulletin/MS04-011.mspx 或者在IE浏览器的工具->Windows Update升级系统。

　　5、重新配置防火墙

　　重新配置边界防火墙或个人防火墙，关闭TCP端口5554和9996。(完)