飞扬围棋

标题: 关于W32.Worm.Sasser病毒的通知 [打印本页]

作者: zpat 时间: 2004-5-2 18:37
标题: 关于W32.Worm.Sasser病毒的通知
2004.5. 1起互联网上出现了一个新的高威胁病毒——Worm.Sasser。该病毒会对被感染的机器(WinNT、Win2000、WinXP、Win2003操作系统)造成巨大的危害。

病毒的危害和传播：
Worm.Sasser病毒利用Windows平台的Lsass漏洞，进行传播。可能会导致被感染的机器无法正常使用，直至系统崩溃。（LSASS 中存在一个缓冲区溢出漏洞，此漏洞允许在受影响的系统上远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。）

染毒的特征：
如果你的机器感染了病毒，那么很有可能系统无法正常使用，可能的现象如下：

1、出现系统错误对话框

被该病毒攻击的电脑用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。

[attach]2071[/attach]

[attach]2072[/attach]

2、系统资源被大量占用

病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。比如上网后（拨号连接或者宽带连接），速度突然变慢或断线，点击网页链接无响应；桌面或系统图标双击无法打开，点击时提示系统配额不足；开始菜单中的项目会有丢失的情况，并且点击开始菜单项的程序无响应等。

3、内存中出现名为 avserve 的进程

病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。

4、系统目录中出现名为 avserve.exe 的病毒文件

病毒如果攻击成功，会在系统安装目录（默认为 C:\WINNT ）下产生一个名为avserve.exe 的病毒文件。

5、注册表中出现病毒键值

病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值： "avserve.exe "="%WINDOWS%\avserve.exe " 。

注意：
目前发现Windows Lsass漏洞存在于WinNT、Win 2000、Win2003的各个版本、WinXP之中。

预防查杀W32.Worm.Sasser病毒的解决方案
提示：如果您的电脑还没有感染该病毒，那么请您直接按照下列步骤下载相应的补丁程序并安装；
   如果您的电脑已经感染了该病毒，那么请您使用安装有非NT（WinNT、Win2000、Win2003、WinXP）架构系统的电脑或者已经安装过补丁的电脑进行补丁下载。
一、安装微软补丁程序——以WinXP系统为例
1、如果您没有安装sp1a补丁包, 请点击此链接进入微软网站下载SP1a补丁：Windows XP SP1a(文件大小：141M)服务包按提示执行安装，结束后重新启动计算机。
2、点击此链接进入微软网站下载MS04-011修复程序：WindowsXP-KB835732-x86-CHS.EXE （文件大小：2641KB）按提示执行安装，结束后重新启动计算机。

注意：
1、对于Windows 2000系统，操作步骤可以参考XP系统的解决方法，在安装了SP4补丁后（点击此链接进入微软网站下载Windows 2000 SP4服务包  选择SP4 网络安装下载方式，文件大小：128M），再安装 Windows2000-KB835732-x86-CHS.EXE修复程序（点击此链接进入微软网站下载MS04-011修复程序 Windows2000-KB835732-x86-CHS.EXE文件大小：6719KB）；
2、对于Windows XP系统，建议在安装了SP1后，再安装WindowsXP-KB835732-x86-CHS.EXE 修改程序。
在Windows XP下检查是否已安装了SP1，可通过下列方法检查：
鼠标右键单击“我的电脑”，在弹出的菜单中选择“属性”，在“常规”卡片中的版权信息下，如果安装了SP1，就会显示“Service Packet 1”字样，如果没有就需要安装SP1补丁程序，具体如下：
[attach]2073[/attach]

3、建议Windows 操作系统用户及时查看微软网站信息并下载相应的补丁程序进行安全漏洞修补（请点击下面链接查看微软公司关于4月份Windows平台系统的安全通告http://www.microsoft.com/china/security/security_bulletins/200404_windows.asp）

二、查杀病毒
1、点击该链接进入瑞星网站下载瑞星专用杀毒工具：http://it.rising.com.cn/service/technology/RS_sasser.htm  ，将此工具下载并保存到本机。
2、重新启动系统，在进入开机画面时连续点击F8键，选择安全模式进入系统
3、在安全模式下直接运行瑞星专杀工具RavSasser.exe进行全机扫描，反复进行两次
4、重新启动计算机进入正常模式。

作者: 伊呀伊呀哟 时间: 2004-5-2 18:56
太可惜了…… 俺是98……

作者: 凝兰 时间: 2004-5-2 20:11
谢谢羽焰,我果然是中病毒了,乱哭中~

作者: 奔牛 时间: 2004-5-2 20:42
难怪我的norton老是发叹号，一看是检测到并禁止了针对您计算机的攻击企图“MS_Windows_LSASS_RPC_DS_Request”，哈哈，将禁止该计算机三十分钟内对您的计算机进行继续访问

作者: cbdeng 时间: 2004-5-2 21:54
各位英雄，还是多花一点钱买个正版杀毒软件，并多费点神加强更新。推荐用瑞星或江民。

作者: 幽玄十八 时间: 2004-5-2 22:30
谢谢羽兄！！！

作者: 雪茄 时间: 2004-5-2 23:26
感谢！看到这个帖子，马上升级了杀毒软件，避免了损失。

向zpat致以崇高的敬礼和无节制的掌声！

[em10]

作者: 漏网鱼 时间: 2004-5-3 13:33
幸亏您提醒,谢谢!

作者: 阿扬 时间: 2004-5-4 08:51
我一直用NORTON ANTIVIRUS企业版（正版）＋天网防火墙个人版（破解）的组合，从来没有中过毒

欢迎光临飞扬围棋 (http://bbs.flygo.net/Bbs/)