我的电脑感染了震荡波病毒吗?

2003年8月 遭遇Blaster病毒攻击的计算机在几十秒内自动重启，所有未保存的数据会全部遗失。在疫情爆发的24小时内，有些企业被迫安装修补程序，或要求员工暂时不用网络，造成许多不便。5月1日历史重演， Sasser 如出一辙的手法同样将目标不仅锁定服务器也瞄准个人用户，让一般更新修补程序的动作不勤快的个人用户，成为防疫漏洞。

　　1. 震荡波病毒（WORM_SASSER）有什么特征？它如何攻击系统？如何传播？
该病毒利用Windows LSASS的一个已知的缓冲溢出漏洞进行传播（没有打微软相应补丁的Win2000/XP等机器就会被震荡波病毒远程攻击而自动感染该病毒，而像Win98等系统只有在本机手动运行病毒文件的情况下才会感染病毒），漏洞详细描述：

　　http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

　　该病毒会扫描网络上具有此漏洞的系统，并向其445端口发送一个特别制作的数据包，该包可使LSASS.EXE产生一个缓冲溢出，并开启9996 端口，通过FTP方式利用5554连接端口下载病毒档案到本机并运行，更详细信息请参见：

　　http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

　　2. 该病毒可以感染那些系统？

　　该病毒通过LSASS溢出漏洞进行传播，如下操作系统会收到影响：

　　¨ Windows 2000
　　¨ Windows XP
如下系统不会被该病毒自动攻击而导致感染，但在其上手动点击运行病毒文件仍然会被感染：
　　¨ Windows 95/98/Me
　　¨ Windows NT 4.0
　　¨ Windows 2003

　　其它非Windows系统不会感染该病毒。

　　3. 如何找出网络中没有安装MS04-011补丁的机器？
可以使用趋势科技的Vulnerability Assessment（漏洞评估）功能，找出网络中尚未安装补丁修正程序的机器，并协助IT快速地加以修补。

　　您也可以使用eEye公司的免费的Sasser Scanner扫描工具找出您的局域网中没有安装补丁的机器，您可以到（http://www.eeye.com）免费下载该工具（如下内嵌文件即为该工具）。

　　4. 从哪儿可以下载到微软相应的补丁程序？

　　您可以到微软的网站下载：

　　http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
　　http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

5. 如何判断我的机器是否感染了震荡波病毒？

　　由于该病毒可使LSASS.EXE产生缓冲溢出，结果一般是使Windows连续地重启，并且，会出现如下对话框：

　　因而，当系统出现上述对话框时，那么，您的系统可能已经感染了该病毒。

　　除此之外，感染了该病毒的系统，还可能具有如下症状：

　　1． 系统资源被某进程大量占用，CPU使用率几乎达到100%；
　　2． 系统进程中出现名为avserve.exe或avserve2.exe或skynetave.exe等进程；
　　3． 注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中出现avserve.exe

　　或avserve2.exe或skynetave.exe等字样键值；

　　当您的机器有上述症状之一时，那您的机器有可能已经感染了震荡波病毒。

　　6. 我的机器已经感染了震荡波病毒，怎么清除？

　　可以使用趋势科技提供的自动清除工具：Damage Cleanup Services（损害清除服务），即DCS（原TSC）工具，下载地址：

　　http://www.trendmicro.com/download/dcs.asp
　　ftp://ftp.trendmicro.com.cn/Support/Public/清毒工具/通用工具/TSC/

　　7. 我使用了趋势科技的NetWork Virus Wall，它能帮我做什么？

　　¨ 我没办法确保网域内的计算机都可以避免 Sasser 攻击

　　NetWork VirusWall 是唯一快速且轻松阻止 Sasser 的方案

　　¨ 我没办法即刻让所有的机器安装补丁

　　Trend Micro Vulnerability Assessment（漏洞评估）+ NVW, 能让 IT 辨别尚未安装补丁修正程序的弱点机器，协助IT快速地加以修补。

　　¨ 我没办法确认所有的机器的病毒码已经完全更新

　　利用Vulnerability Assessment 强迫执行安全政策，可侦测网络上未更新病毒码及扫毒引擎的弱点机器，协助IT 强迫更新病毒码和扫毒引擎，以防止Sasser的攻击。

　　¨ 我不知如何阻止受感染区的病毒蔓延至全公司

　　假使Sasser 已经在办公室散播，NVW 的病毒码可抢先在网络层侦测并隔离疫区，阻止其扩散。

　　8. 如何防止该病毒入侵您的系统？

　　1． 确保您的系统已经打上了微软针对该漏洞的相应补丁；

　　2． 使用趋势科技的系列产品，并将其防毒组件更新之最新，找出网络中潜在的威胁，阻断病毒传播的途径，并彻底得清除已经感染了病毒的机器，以保护您的系统不受病毒侵害。

　　9. 我没有使用趋势科技的产品，我该如何预防该病毒？

　　1． 确保您的系统已经打上了微软针对该漏洞的相应补丁；

　　2． 购买使用趋势科技的系列产品

（出处：www.Gimoo.net）