2004年05月01日17:54:50　金山毒霸安全资讯网　

　　5月1日早晨6点，金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。从win98到Windows 2003，所有的Windows操作系统无一幸免。中招后的系统将开启上百个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。


同最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。

　　 5月1日一大早，金山的客服中心便不断的接到用户求助电话。中招用户以ADSL上网用户居多。原因是病毒会扫描随机IP，并向该IP攻击。而ADSL大多是公网IP，所以更容易受到攻击。

　　 Lsass漏洞存在于Windows的所有操作平台，凡是没有打补丁的用户都有可能中招。另一方面，现在是五一长假，很多人都远离电脑出外度假。所以五一过后该病毒很可能会大面积再次爆发。

　　金山反病毒中心向所有用户建议：立即升级毒霸到5月1日的病毒库，该病毒库可完全处理“震荡波”；立即到微软的站点去下载并安装该漏洞的补丁：http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ；打开个人防火墙屏蔽端口：445、5554和1068，防止名为avserve.exe的程序访问网络。

恶性蠕虫震荡波(Worm.Sasser）技术分析报告
2004年05月01日17:46:07　金山毒霸安全资讯网　
　　病毒信息：

　　病毒名称: Worm.Sasser
　　中文名称: 震荡波
　　病毒别名: W32/Sasser.worm [Mcafee]
　　病毒长度: 15,872 Bytes
　　病毒类型: 漏洞蠕虫
　　受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003

　　破坏方式：
　　· 利用WINDOWS平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
　　·和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。
　　·文件名为：avserve.exe


　　· 技术特点：


A、在注册表主键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe

B、拷贝其本身至系统目录：
%System%\<5位随机数字>_up.exe

C、在C盘根目录创建以下文件：
C:\win.log(该文件用以记录本地主机的IP地址)

D、该病毒会监听以1068起始的TCP端口，同时扫描随机的IP地址；

E、它还会开启TCP端口5554来建立一个FTP服务器，用于传播病毒本身；

F、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致LSASS.EXE的崩溃，当LSASS.EXE崩溃时系统默认会重启。
以下是LSASS.EXE崩溃时可能回弹出的窗口：





　　其他细节：
　　· 该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)]，关于该漏洞的更多信息请访问：
http://www.microsoft.com/technet/security/...n/MS04-011.mspx



　　解决方案:

　　· 请升级毒霸到5月1日的病毒库可完全处理该病毒；

　　· 请到以下网址即时升级您的操作系统，免受攻击
http://www.microsoft.com/technet/security/...n/MS04-011.mspx ； 　

　　· 请打开个人防火墙屏蔽端口：445、5554和1068，防止名为avserve.exe的程序访问网络

　　·手工解决方案：

　　　 首先，若系统为WinMe/WinXP，则请先关闭系统还原功能；
　　　

　 对于系统是Windows9x/WinMe：

　　步骤一，删除病毒主程序
　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为　　C:\windows），分别输入以下命令，以便删除病毒程序：

　　C:\windows\system32\>del *_up.exe
　　C:\windows\system32\>cd..
　　 C:\windows\>del avserve.exe

　　完毕后，取出系统软盘，重新引导到Windows系统。
　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　　步骤二，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　在右边的面板中, 找到并删除如下项目：
　　 "avserve.exe" = %SystemRoot%\avserve.exe

　　关闭注册表编辑器.



　 对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever：

　　步骤一，使用进程序管里器结束病毒进程
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“avserve.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序
　　通过“我的电脑”或“资源管理器”进入系统安装目录（Winnt或windows)，找到文件“avserve.exe”，将它删除;然后进入系统目录(Winnt\system32或windows\system32)，找到文件"*_up.exe", 将它们删除；

　　步骤三，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　在右边的面板中, 找到并删除如下项目：
　　"avserve.exe" = %SystemRoot%\avserve.exe

　　关闭注册表编辑器.