金山毒霸报道：5月11日，金山毒霸截获震荡波最新变种F，立即进行了升级处理，请升级毒霸到5月11日的病毒库，可处理该病毒。

　　病毒信息：

　　病毒名称:Worm.Sasser.f

多媒体互动学英语 张国荣风采依旧一周年 金犊奖大陆初审揭晓 AC-尼尔森互联网调查

　　威胁级别:3A

　　病毒长度:74,752字节

　　中文名称:震荡波变种f

　　病毒别名:W32.Sasser.f.Worm[Symantec]

　　病毒类型:蠕虫

　　受影响系统:Windows 2000, Windows XP, Windows 2003

　　破坏方式：

　　A、利用WINDOWS平台的Lsass漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，

　　B、堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。

　　C、和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。

　　传染条件:

　　该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)]，关于该漏洞的更多信息请访问：

　　www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

　　技术特点:

　　A、将自身复制到%SystemRoot%\napatch.exe (通常为C:\WinNT\或C:\Windows)

　　B、在注册表主键：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　下添加如下键值:

　　"napatch.exe" = %SystemRoot%\napatch.exe

　　B、拷贝其本身至系统目录：

　　%System%\<5位随机数字>_up.exe

　　C、在C盘根目录创建以下文件：

　　C:\win2.log(该文件用以记录本地主机的IP地址)

　　D、使用AbortSystemShutdown API来防止系统重启或关机。

　　E、它开启TCP端口5554来建立一个FTP服务器，用来当作感染其他机器的服务器。

　　F、通过TCP445端口扫描随机的IP地址，当连接成功时，被感染的计算机向被连接机器发动溢出攻击，被攻击的计算机将会自动连接被感染计算机的5554端口并通过FTP下载蠕虫的副本，名称一般为4到5个数字加上"_up"的组合，如(78456_up.exe).

　　G、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致LSASS.EXE的崩溃，当LSASS.EXE崩溃时系统默认会重启。

　　以下是LSASS.EXE崩溃时可能回弹出的窗口：

　　H、和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。

　　文件名为：napatch.exe

　　I、创建了互斥体billgate用于判断是否已运行。

　　解决方案:

　　A、请使用金山毒霸2004年05月11日的病毒库可完全处理该病毒；

　　B、手工解决方案：

　　如果系统为WinMe或WinXP，则请先关闭系统还原功能。

　　对于系统是Win9x/WinMe

　　步骤一，删除病毒主程序

　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录(默认的系统目录为C:\windows)，分别输入以下命令，以便删除病毒程序：

　　C:\windows\system32\>del *_up.exe

　　C:\windows\system32\>cd..

　　C:\windows\>del napatch.exe

　　完毕后，取出系统软盘，重新引导到Windows系统。

　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　　步骤二，清除病毒在注册表里添加的项

　　打开注册表编辑器:点击开始>运行,输入REGEDIT,按Enter；

　　在左边的面板中,双击(按箭头顺序查找，找到后双击)：

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　在右边的面板中,找到并删除如下项目："napatch" = %SystemRoot%\napatch.exe

　　关闭注册表编辑器.

　　步骤一，使用进程序管里器结束病毒进程

　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve2.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序

　　通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows)，找到文件“napatch.exe”，将它删除;然后进入系统目录(Winnt\system32或windows\system32)，找到文件"*_up.exe",将它们删除；

　　步骤三，清除病毒在注册表里添加的项

　　打开注册表编辑器:点击开始>运行,输入REGEDIT,按Enter；

　　在左边的面板中,双击(按箭头顺序查找，找到后双击)：

　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　在右边的面板中,找到并删除如下项目："napatch" = %SystemRoot%\napatch.exe

　　关闭注册表编辑器.