KILL阻断Win32. Sasser震荡波病毒方法 | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2004年05月08日 17:57 新浪科技 | |||||||||
5月1日,冠群金辰公司病毒研发中心接到用户报警,捕捉到Win32. Sasser(震荡波)病毒,该病毒利用微软发布的最新安全漏洞—LSASS漏洞(MS04-011公告)进行传播,所有Windows 2000/XP/Server 2003的操作系统都存在该漏洞,这些操作系统的用户如果未安装此漏洞的补丁,都有可能受到该病毒的攻击。计算机一旦感染该病毒,病毒将在系统中开启上百个线程,并试图攻击网上其他的用户,造成机器运行缓慢、网络堵塞,甚至使系统不停的进行倒计时重启。
病毒感染现象: 如果您的电脑出现下列现象,则您的机器已经中毒,请立刻采取措施清除该病毒。 1.系统运行速度缓慢 病毒一旦感染系统,会开启上百个线程,因此会占用大量系统资源,使CPU占用率达到100%,系统运行速度极为缓慢。 2.产生名为avserve.exe的进程 系统感染病毒后,会在内存中产生名为avserve.exe的进程,您可以同时按下Ctrl+Shift+Esc三个按键,调出“Windows任务管理器”,然后在“进程”中查看系统中是否存在该进程。 3.在系统目录中驻留avserve.exe文件 病毒感染系统后,会在系统安装目录(默认为C:\WINNT )下产生一个名为avserve.exe的病毒程序。 4.注册表键值 病毒感染系统后,会将"avserve.exe "="%WINDOWS%\avserve.exe ",加入注册表键值中: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。 清毒方法: 1.自动清毒: 冠群金辰公司病毒研发中心建议您:立即更新KILL安全胄甲和KILL2004单机版的病毒引擎到最新的23.65.3版本,以检测并清除此病毒,在KILL中选择“系统修复”和“直接删除蠕虫/特洛伊”选项后,KILL可以自动清除该病毒并恢复注册表键值。 2.手工清除病毒: 如果您没有安装杀毒软件,可以按以下步骤手工清毒: 1)在Windows系统下,同时按下Ctrl+Shift+Esc三个按键,调出“Windows任务管理器”,在“进程”中找到avserve.exe进程,然后,手工停止(结束)该进程。 2)删除病毒在Windows系统目录(默认为C:\WINNT )下产生一个名为avserve.exe的病毒程序。 3)删除病毒在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中产生的键值:"avserve.exe "="%WINDOWS%\avserve.exe "。 4)重启动系统。 防护措施: 因为针对LSASS漏洞的攻击程序已公布到互联网,该病毒的变种和利用此漏洞的其他病毒可能很快就会出现,且破坏性和攻击性可能更强,所以,您一定还要到微软站点下载最新的补丁文件,以防止机器再次被感染(这是防止计算机被此类病毒感染的最有效的方法) http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx 个人用户可以设置个人防火墙屏蔽端口:445、5554和1068,以防上网时被病毒攻击。 |