病毒特征:4月30日震荡波(Sasser)病毒被首次发现,短短一个星期时间之内就感染了全球1800万台电脑,成为今年当之无愧的“毒王”。它利用微软公布的Lsass漏洞进行传播,可感染WindowsNT/XP/2003等操作系统,开启上百个线程去攻击其他网上的用户,造成机器运行缓慢、网络堵塞。因为它会导致LSASS.EXE崩溃,所以系统不断弹出一个提示框(如图1),然后倒计时重启。中毒现象和危害程度都非常类似于去年的“冲击波”。
清除方法:发现上述症状首先断开网络,按CTRL+ALT+DEL打开任务管理器,杀掉 “avserve.exe”或“avserve2.exe”或“kynetave.exe”或“lsasss.exe”(注意它比系统原关键进程 LSASS多一个字母S)进程。然后再到系统目录下找到这些文件并删除它们,同时删除C:盘根目录下的win.log文件,它是用来记录本地主机的IP地址的。(如果你使用的是WIN XP系统,删除前先要关闭系统还原功能。)最后打开注册表编辑器,查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run删除启动项中病毒添加的"avserve.exe"、“avserve2.exe”、 “kynetave.exe”或“lsasss.exe”启动键值。对于不熟悉系统的用户可以下载免费的专杀工具对系统进行全面扫描。
为了避免再次感染“震荡波”病毒,还可以在网镖等网络防火墙中进行一下设置。打开网镖下的IP规则编辑器,在列表中去掉“允许别人访问本机共享资源(Win2000)”前面的勾(因为默认设置下,金山网镖6的445 端口是开放的,使他人可以访问本机的共享资源)。然后禁用1068和5554端口。(注意:保存后要移动一下安全级别滑块,这样才能使新规则生效。)
补丁文件:http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731- 8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE。(WIN XP)如果你担心安装微软补丁后系统变慢,金山毒霸还推出了“震荡波”防火墙,它可以防范所有专门针对lsass漏洞攻击的病毒,即使不打补丁,机器也安然无恙。
