北方网消息:就在瑞星公司于4月29日晚刚发布一级安全警报之后,5月1日上午,全球反病毒监测网就已经截获利用微软操作系统重大漏洞的高危病毒——“震荡波”病毒(I-Worm/Sasser),该病毒将使互联网和用户电脑系统再次面临重大危险,其破坏程度有可能超过“冲击波”。
在瑞星此次发布的一级安全警报中称,目前有90%以上的Windows2000/XP/2003用户没有给一个系统漏洞打上补丁程序,而“震荡波”病毒正是通过这个被微软定义为最高级别的漏洞进行传播的,因此反病毒工程师预测将有众多电脑被该病毒攻击,极有可能造成大规模泛滥。
根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。
今天北方网记者机器也不幸中招,亲身体验“震荡波”病毒的发作状况:上午记者工作中(系统为XP)突然发觉网络不畅,IE浏览均显示找不到服务器,但通过DOS窗口ping运行命令测试,发现网络是通的。觉得奇怪,没太在意,重启机器,恢复正常。没想到,几分钟后故障依旧,而且这次重启后明显感觉机器速度变慢,打开“任务管理器”查看进程,发现一名为avserve.exe的程序CPU占用率非常的高,而且稳定。初步感觉可能是中毒了,马上结束该进程,从注册表启动项里删除该程序,在C盘XP目录下的system32目录下找到该程序,删除,下载了新的病毒库,查毒,未发现病毒(因为是新病毒)。再次重启机器,再次发现该病毒,在这时,突然弹出下图窗口,LSASS.exe进程意外中止,系统将在60秒内关机,联想到大名鼎鼎的“冲击波”,确信一种新病毒来袭,而且又是来势凶猛,由于放假,估计5.1后大面积发作可能性较大。
记者支招,一分钟搞定“震荡波”病毒:由于杀毒软件无效,随即记者到微软官方网站找到补丁程序,下载安装,再次结束avserve.exe进程、删除文件、改注册表,再重启,一切恢复正常,使用至晚上11点30分,无恙。看来抢在系统自动关闭之前打上补丁,删除病毒进程和文件这一招管用。
简要技术分析
据瑞星反病毒专家王耀华介绍,该病毒会通过FTP的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
该病毒会使“安全认证子系统”进程---LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
拯救行动
各大杀毒软件公司已于5月1日晚进行了紧急升级,下载最新的病毒库可以有效查杀该病毒。
此外,瑞星还向广大用户提供了震荡波病毒的专杀工具下载,用户可以登陆:service/technology/RS_sasser.htm网址免费下载。
如何防范“震荡波”病毒
首先,用户必须迅速下载新病毒“震荡波”微软补丁程序,对于该病毒的防范,china/technet/security/bulletin/ms04-011.mspx。
然后迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。(北方网:赵海涛)
相关链接:
新病毒“震荡波”爆发 危害直逼“冲击波”[补丁下载]
预防“震荡波”病毒 微软补丁、专杀工具下载
| 
