关于处理“振荡波”病毒(I-Worm/Sasser)的紧急通知
5月1日,高危病毒“振荡波”病毒(I-Worm/Sasser)爆发,该病毒将使互联网 和用户电脑系统再次面临重大危险,其破坏程度有可能超过“冲击波”。
“振荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒。该病毒发作的现象是导致本地安全认证程序Isass.exe出错,造成电脑 反复重启。
据网络安全监测机构消息,目前有90%以上的Windows2000/XP/2003用户没有给一个系统漏洞打上补丁程序,而“振荡波”病毒正是通过这个被微软定义为最高级别的漏洞进行传播的,因此预测将有众多电脑被该病毒攻击,极有可能造成大规模泛滥。
根据分析,“振荡波”病毒会在网络上自动搜索未安装微软最新补丁的电脑,直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户有电脑没有安装补丁程序和防火墙并接入互联网,就有可能被感染。
目前已有网络安全公司提供了该病毒的专杀工具,用户可以登陆:
http://it.rising.com.cn/service/technology/tool.htm网址免费下载。
防范“振荡波”具体办法:
1、安全模式启动
重新启动系统同时按下F8键,进入系统安全模式
2、注册表的恢复
点击“开如->运行”,输入regedit运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Softwre>Microsoft>Windows>Currcnt Version>Run,并删除面板右侧的"avserve"="c:\winnt\avscrve.exe
3、删除病毒释放的文件
点击“开始 --》查找 --》文件和文件夹”,查找文件“avserve.exe”和“_up.exe”,并将找到的文件删除。
4、安装系统补丁程序
到以下网站下载安装补丁程序:
WIN2000: http://www.zsjz.com/soft/zdbpd/Windows2000-KB835732-x86-CHS.EXE
WINXP: http://www.zsjz.com/soft/zdbpd/WindowsXP-KB835732-x86-CHS.EXE
WIN2003 : http://www.zsjz.com/soft/zdbpd/WindowsServer2003-KB835732-x86-CHS.EXE
5、重新配置防火墙
如有防火墙,重新配置便捷防火墙或个人防火墙,关闭TCP端口5554。
广东省互联网网络安全管理中心
2004-05-01
附件:简要技术分析
该病毒会通过ftp的5554端口攻击电脑,是文件系统崩溃,造成电脑反复重启。病毒如果攻击成功,会在“c:\windows”目录下产生名为“avserve.exe”的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随即扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表“HKEY_LOCAL_MACHINE>Softwre>Microsoft>Windows>Currcnt Version>Run”中建立,“avserve=%windows%\avscrve.exe”的病毒键值进行自启动。
该并对会使“安全认证子系统”进程--LSASS.EXE崩溃,出现系统反复重启的现象,并使跟安全认证有关的程序出现严重运行错误。
