病毒类型：网络蠕虫

　　病毒大小：15872字节

　　传播方式：网络

多媒体互动学英语 张国荣风采依旧一周年 金犊奖大陆初审揭晓 AC-尼尔森互联网调查

　　该病毒为振荡波的最新变种。与该病毒以前的版本相同，也是通过微软的最新LSASS漏洞进行传播，江民科技及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。

　　具体技术特征如下：

　　1.感染系统为：Windows 2000、Windows Server 2003、Windows XP

　　2.利用微软的漏洞：MS04-011

　　　补丁下载地址:www.microsoft.com/technet/security/bulletin/MS04-011.mspx

　　3.病毒运行后，将自身复制为%WinDir%\lsasss.exe

　　4.在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建："lsasss.exe" = %WinDir%\lsasss.exe

　　这样，病毒在Windows启动时就得以运行。

　　5.删除I-Worm/BBEagle病毒某些变种创建的注册表启动项键值。

　　6.病毒运行2个小时后，会显示下列消息：

　　“1. Your computer is affected by the MS04-011 vulnerability

　　2. It can be that dangerous computer viruses similar the Blaster worm infect your computer

　　3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website

　　4. This is an message from the SkyNet Team for malicious activity prevention”

　　大意是：

　　“1.你的计算机存在MS04-011漏洞

　　2.类似冲击波那样危险的计算机病毒会感染你的系统

　　3.请从微软网站下载MS04-011 LSASS补丁程序，更新Windows

　　4.本消息来自天网有害程序防治小组”

　　7.在TCP端口1023建立FTP服务，用以将自身传播给其他计算机。

　　8.随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门端口1022。病毒利用后门端口1022，使得远程计算机连接病毒打开的FTP端口1023，下载病毒体并运行，从而遭到感染。

　　9.病毒还会利用漏洞攻击LSASS.EXE进程，被攻击计算机的LSASS.EXE进程会瘫痪，Windows系统将会有1分钟倒计时关闭的提示。

　　10.病毒在C:\ftplog.txt中记录其感染的计算机数目和IP地址。

　　江民KV系列用户处理对策:

　　(1)安装系统补丁程序:www.microsoft.com/technet/security/bulletin/MS04-011.mspx，或下载江民公司的内存补丁程序。

　　(2)利用江民黑客防火墙关闭TCP端口445，1022，1023;

　　(3)升级江民杀毒软件KV2004到最新版到2004年5月9日的病毒库,来全盘搜索整个系统.

　　(4)删除病毒增加的注册表键值.

　　(5)开启KV2004的各项监视开关来预防病毒的入侵.

　　针对该病毒，江民公司已经在第一时间升级了病毒库。请您及时升级，即可全面查杀该病毒，保护您的系统不受其侵害。