病毒及殺毒---也

（我的電腦中毒了嗎？）
病毒感染症狀:

　　1、莫名其妙地死機或重新啟動計算機；
　　2、係統速度極慢，cpu占用100%；
　　3、網絡變慢；
　　4、最重要的是，在任務管理器裏有一個叫“avserve.exe”的進程在運行！

新60秒重啟－振蕩波病毒（svserve.exe）出現 趕快打補丁
--------------------------------------------------------------------------------

2004-05-01 18:04:34 點擊:288
染毒計算機的主要症狀為：
　　（1）進程中出現 avserve.exe 和 *****_up.exe，占用大量資源； 其中*****為從0～65535之間的隨機數字
　　（2）出現LSA Shell錯誤；
　　（3）導致係統進程lsass.exe錯誤，並進而導致計算機強迫重啟；
　　（4）有網友反饋計算機的管理員權限帳戶口令被修改（未證實）。

　　病毒原理： 病毒首先生成 C:\WINNT\system32\*****_up.exe （這個文件名是隨即的 但_up.exe一定其中*****為從0～65535之間的隨機數字）並執行。然後建立文件：C:\WINNT\avserve.exe，並在注冊表中建立 /HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/avserve.exe 項。 病毒在本機啟動3000多tcp 端口對外掃描tcp 445。（原來如此，把socket全占光了）待毒計算機的網絡應用可能無法正常打開。

　　清除方法 首先按 ctrl+shift+esc 調出任務管理器 在進程中關閉 averve.exe 然後打好補丁 3 個補丁：KB837001，KB828741，KB835732 刪除注冊表的相應鍵值 （run 中 輸入 regedit) 刪除相應位置的的文件 avserve.exe (c:\windows 或 c:\winnt 下） *****_up.exe 文件 c:\windows 或 c:\winnt 下 system32 裏 通過安裝防火牆或者手動關閉計算機的445端口 還有盡快安裝這個補丁 http://www.microsoft.com/china/tech...n/ms04-011.mspx

　　就在瑞星公司於4月29日晚剛發布一級安全警報之後，5月1日上午，瑞星全球反病毒監測網率先截獲利用這個重大漏洞的高危病毒——“振蕩波”病毒（I-Worm/Sasser ），該病毒將使互聯網和用戶電腦係統再次麵臨重大危險，其破壞程度有可能超過“衝擊波”。

　　在瑞星發布的一級安全警報中稱，目前有90％以上的Windows2000/XP/2003用戶沒有給一個係統漏洞打上補丁程序，而“振蕩波”病毒正是通過這個被微軟定義為最高級別的漏洞進行傳播的，因此瑞星反病毒工程師預測將有眾多電腦被該病毒攻擊，極有可能造成大規模泛濫。

　　根據分析，“振蕩波”病毒會在網絡上自動搜索係統有漏洞的電腦，並直接引導這些電腦下載病毒文件並執行，因此整個傳播和發作過程不需要人為幹預。隻要這些用戶的電腦沒有安裝補丁程序並接入互聯網，就有可能被感染。

　“振蕩波”病毒的發作特點，類似於去年夏天造成大規模電腦係統癱瘓的“衝擊波”病毒，那就是造成電腦反複重啟。

　　簡要技術分析
　　瑞星反病毒專家王耀華介紹，該病毒會通過FTP 的5554端口攻擊電腦，使係統文件崩潰，造成電腦反複重啟。病毒如果攻擊成功，會在C:\WINDOWS目錄下產生名為avserve.exe的病毒體，用戶可以通過查找該病毒文件來判斷是否中毒。

　　“振蕩波”病毒會隨機掃描IP地址，對存在有漏洞的計算機進行攻擊，並會打開FTP的5554端口,用來上傳病毒文件，該病毒還會在注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立： "avserve.exe"=%windows%\avserve.exe的病毒鍵值進行自啟動。

　　該病毒會使“安全認證子係統”進程━━LSASS.exe崩潰，出現係統反複重啟的現象，並且使跟安全認證有關的程序出現嚴重運行錯誤。

　　瑞星行動
　　瑞星公司已於5月1日晚進行了緊急升級，瑞星殺毒軟件16.24.42以上版本可以有效查殺該病毒。 此外，瑞星公司還向廣大非瑞星用戶提供了該病毒的專殺工具，用戶可以登陸： http://it.rising.com.cn/service/tec...m網址免費下載。

　　如何防範“振蕩波”
　　首先，用戶必須迅速下載微軟補丁程序，對於該病毒的防範， http://www.microsoft.com/china/tech...ms04-011.mspx。

　　瑞星用戶迅速升級殺毒軟件到最新版本，然後打開個人防火牆，將安全等級設置為中、高級，封堵病毒對該端口的攻擊。

　　非瑞星用戶迅速登陸瑞星公司網站下載免費的專殺工具，下載地址為： http://it.rising.com.cn/service/technology/tool.htm。

　　如果用戶已經被該病毒感染，首先應該立刻斷網，手工刪除該病毒文件，然後上網下載補丁程序，並升級殺毒軟件或者下載專殺工具。手工刪除方法：查找該目錄C:\WINDOWS目錄下產生名為avserve.exe的病毒文件，將其刪除。

• 回複：see Panda Antivirus -殺獨- ♀ (102 bytes) () 05/03/2004 postreply 11:17:15