该病毒是“震荡波”病毒的第三个变种，该变种则更为凶狠，它开辟1024个线程扫描网络(以前只是开辟128个)，然后利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。

　　依然是利用微软操作系统的LSASS缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。和上一版本相比，病毒攻击方式发

多媒体互动学英语 张国荣风采依旧一周年 金犊奖大陆初审揭晓 AC-尼尔森互联网调查

生了变化，改成了多线程扫描多进程攻击，而且，病毒产生的病毒文件名和注册表键值也都发生了变化。

　　一、病毒评估

　　1.病毒中文名：震荡波变种C

　　2.病毒英文名：Worm.Sasser.C

　　3.病毒别名：

　　4.病毒大小：15872字节

　　5.病毒类型：蠕虫病毒

　　6.病毒危险等级：★★★★★

　　7.病毒传播途径：漏洞

　　8.病毒依赖系统：Windows 2000/XP/Server2003

　　二、病毒的破坏

　　病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞，该病毒在网络上传播迅速，造成网络瘫痪。

　　三、病毒报告

　　1.首先拷贝自身到windows目录，名为%WINDOWS%\avserve2.exe(15,872字节)，然后登记到自启动项：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runavserve2.exe = %WINDOWS%\avserve2.exe

　　2.开辟线程，在本地开辟后门。监听TCP 5554端口(支持USER、PASS、PORT、RETR和QUIT命令)被攻击的机器主动连接本地5554端口，把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。

　　3.病毒开辟1024个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，如果试探成功，则运行一个新的病毒进程对该目标进行攻击，把该目标的ip地址保存到“c:\win2.log”。

　　4.利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作，以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。

　　5.溢出代码会主动从原机器下载病毒程序并运行，开始新的攻击。

　　四、病毒解决方案：

　　1.进行升级

　　瑞星公司将于当天进行升级，升级后的软件版本号为16.25.01，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(www.rising.com.cn/)下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能。

　　2.使用专杀工具

　　鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到：it.rising.com.cn/service/technology/tool.htm网址进行免费下载，并进行该病毒的清除。

　　3.使用在线杀毒和下载版

　　用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：online.rising.com.cn/来使用在线杀毒产品，或者登陆网址：go.rising.com.cn/来使用下载版产品。

　　4.打电话求救

　　如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

　　5.手动清除

　　(1)请用户立即给电脑打上最新的补丁,补丁地址：http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

　　(2)打开注册表编辑器,删除如下键值<如果存在的话>:

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run

　　" avserve2.exe "="%WINDOWS%\avserve2.exe "

　　(3)打开任务管理器查看是否存在进程名为: avserve2.exe,终止它

　　(4)删除%WINDOWS%\avserve2.exe

　　注：%WINDOWS%是指系统的windows目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS,

　　Win2K下默认为:C:\WINNT。

　　五、安全建议：

　　1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

　　2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

　　3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

　　4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

　　5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

　　6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

　　7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报，这样才能真正保障计算机的安全。