預防和清除“震蕩波”惡性病毒的緊急公告

今天網上爆發了一種稱為“震蕩波 Sasser”的惡性病毒，傳播方式類似于去年8月出現的“沖擊波”病毒。傳播速度極快，只要聯網的計算機都有可能中毒。該病毒利用了微軟MS04-011安全公告中所描述的漏洞。希望各位老師和同學立刻安裝微軟提供的補丁文件，并升級防毒軟件的病毒庫。

染毒計算機的主要癥狀為：
（1）進程中出現 avserve.exe 和 *****_up.exe，占用大量資源；
     其中*****為從0～65535之間的隨機數字
（2）出現LSA Shell錯誤；
（3）導致系統進程lsass.exe錯誤，并進而導致計算機強迫重啟；
（4）有網友反饋計算機的管理員權限帳戶口令被修改（未證實）。

簡體中文WINDOWS補丁下載

教育網

winnt workstation 4.0 中文版+sp6補丁程序
http://www.ccert.edu.cn/pub/patch/MS/winnt/WindowsNT4Workstation-KB835732-x86-CHS.EXE

winnt server 4.0 中文版+sp6補丁程序
http://www.ccert.edu.cn/pub/patch/MS/winnt/WindowsNT4Server-KB835732-x86-CHS.EXE

window2000 中文版 +（sp1或sp2或sp3或sp4）補丁程序
http://www.ccert.edu.cn/pub/patch/MS/win2000/Windows2000-KB835732-x86-CHS.EXE

winxp 中文版+sp1補丁程序
http://www.ccert.edu.cn/pub/patch/MS/xp/WindowsXP-KB835732-x86-CHS.EXE
 
win2003 中文版補丁程序
http://www.ccert.edu.cn/pub/patch/MS/win2003/WindowsServer2003-KB835732-x86-CHS.EXE

關于此補丁的詳細資料
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

 

   如果不幸中了該病毒可以采取一下措施清除該病毒：
     
1、安全模式啟動      
      　　重新啟動系統同時按下按F8鍵，進入系統安全模式

2、注冊表的恢復

　　　　　點擊"開始--〉運行"，輸入regedit,運行注冊表編輯器，依次雙
　　　擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
　　　CurrentVersion>Run ，并刪除面板右側的"avserve"="c:\winnt\avserve.exe"

3、刪除病毒釋放的文件

　　　　　點擊"開始--〉查找--〉文件和文件夾"，查找文　　　
      件"avserve.exe"和"*_up.exe"，并將找到的文件刪除。

4、安裝系統補丁程序

到以下微軟網站下載安裝補丁程序：

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx 

或者在ＩＥ瀏覽器的工具－>Windows Update升級系統。

  5、重新配置防火墻

重新配置邊界防火墻或個人防火墻關閉TCP端口5554;

電院計算機應急組  http://www.hetaojiu.org/cert    2004.5.1