預防和清除“震蕩波”惡性病毒的緊急公告
今天網上爆發了一種稱為“震蕩波 Sasser”的惡性病毒,傳播方式類似于去年8月出現的“沖擊波”病毒。傳播速度極快,只要聯網的計算機都有可能中毒。該病毒利用了微軟MS04-011安全公告中所描述的漏洞。希望各位老師和同學立刻安裝微軟提供的補丁文件,并升級防毒軟件的病毒庫。
染毒計算機的主要癥狀為:
(1)進程中出現 avserve.exe 和 *****_up.exe,占用大量資源;
其中*****為從0~65535之間的隨機數字
(2)出現LSA Shell錯誤;
(3)導致系統進程lsass.exe錯誤,并進而導致計算機強迫重啟;
(4)有網友反饋計算機的管理員權限帳戶口令被修改(未證實)。
簡體中文WINDOWS補丁下載
教育網
winnt workstation 4.0 中文版+sp6補丁程序
http://www.ccert.edu.cn/pub/patch/MS/winnt/WindowsNT4Workstation-KB835732-x86-CHS.EXE
winnt server 4.0 中文版+sp6補丁程序
http://www.ccert.edu.cn/pub/patch/MS/winnt/WindowsNT4Server-KB835732-x86-CHS.EXE
window2000 中文版 +(sp1或sp2或sp3或sp4)補丁程序
http://www.ccert.edu.cn/pub/patch/MS/win2000/Windows2000-KB835732-x86-CHS.EXE
winxp 中文版+sp1補丁程序
http://www.ccert.edu.cn/pub/patch/MS/xp/WindowsXP-KB835732-x86-CHS.EXE
win2003 中文版補丁程序
http://www.ccert.edu.cn/pub/patch/MS/win2003/WindowsServer2003-KB835732-x86-CHS.EXE
關于此補丁的詳細資料
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
如果不幸中了該病毒可以采取一下措施清除該病毒:
1、安全模式啟動
重新啟動系統同時按下按F8鍵,進入系統安全模式
2、注冊表的恢復
點擊"開始--〉運行",輸入regedit,運行注冊表編輯器,依次雙
擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run ,并刪除面板右側的"avserve"="c:\winnt\avserve.exe"
3、刪除病毒釋放的文件
點擊"開始--〉查找--〉文件和文件夾",查找文
件"avserve.exe"和"*_up.exe",并將找到的文件刪除。
4、安裝系統補丁程序
到以下微軟網站下載安裝補丁程序:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
或者在IE瀏覽器的工具->Windows Update升級系統。
5、重新配置防火墻
重新配置邊界防火墻或個人防火墻關閉TCP端口5554;
電院計算機應急組 http://www.hetaojiu.org/cert 2004.5.1
