| 北京信息安全测评中心、金山毒霸 联合发布2004年05月10日热门病毒
据金山毒霸反病毒实验室介绍,今日提醒用户注意以下病毒:
“震荡波”变种 (Worm.Sasser.E) ,蠕虫病毒,利用 WINDOWS 平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,病毒的攻击行为可让系统不停的倒计时重启。该病毒会严重堵塞网络。
病毒信息:
病毒名称: Worm.Sasser.E
中文名称: 震荡波变种 E
病毒长度: 15,872 字节
威胁级别: 4A
病毒类型: 蠕虫
病毒别名: W32.Sasser.E.Worm [Symantec]
Worm.Sasser.e [ 瑞星 ]
受影响系统: WinNT/Win2000/WinXP/Win2003
发现日期:
2004.05.09
处理日期:
2004.05.09
破坏方式:
·
利用WINDOWS平台的Lsass漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统
;
·
堵塞网络。病毒的攻击行为可让系统不停的倒计时重启;
·
和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器
下载特定文件并运行,来达到感染的目的。
特别说明:此病毒利用微软漏洞进行攻击,会清除其它木马的键值,从病毒信息来看, SkyNet
Team 已经有此病毒源代码
传染条件:该自运行的蠕虫通过使用 Windows 的一个漏洞来传播 [MS04-011 vulnerability
(CAN-2003-0907)] ,关于该漏洞的更多信息请访问:
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
解决方案:
· 请升级毒霸到5月10日的病毒库可完全处理该病毒;
· 请到以下网址即时升级您的操作系统,免受攻击
http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx
· 请用个人防火墙屏蔽端口: 445 、5554 和 9996 ,防止名为 avserve.exe 的程序访问网络;
·
手工解决方案
首先,若系统为WinXP,则请先关闭系统还原功能;
(毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win
Me/XP的“系统还原”功能)
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务
管理器中,单击“进程”标签,在例表栏内找到病毒进程
“ lsasss.exe ”或任何前面是4到
5 个数字后面紧接着 _upload.exe( 如 74354_up.exe) 的进程
,单击“结束进程按钮”,
点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到文件
"lsasss.exe" ,将它删除 ; 然后进入系统目录 (Winnt\system32 或 windows\system32) ,
找到文件 "*_upload.exe", 将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边的面板中 , 找到并删除如下项目:
"lsasss.exe" = %SystemRoot%\lsasss.exe
关闭注册表编辑器.
|
|
告诉您的位置:
