1、“震荡波”
利用WINDOWS平台的Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
2、如何判别感染"震荡波"
1、莫名其妙地死机或重新启动计算机。
2、任务管理器里有"avserve.exe"或者“avserve2.exe”、*_up.exe(*为随即数字)的进程在运行。
3、在windows目录下,产生一个名为avserve.exe或者avserve2.exe的病毒文件;在windows\system32下产生几个*_up.exe文件。
4、最系统速度极慢,cpu占用100% 。
3、解决方法:
1)断网。
2)手动删除windows目录下名为avserve.exe或者avserve2.exe的病毒文件;删除windows\system32下*_up.exe文件。
3)删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中有关avserve.exe或者avserve2.exe的键值。
4)上网下载安装微软MS04-011补丁:
微软网址:
http://iduba.jbea.net/download/tools/Duba_Sasser.EXE
2)瑞星"震荡波"专杀工具
http://download.rising.com.cn/zsgj/RavSasser.exe 3)微软"震荡波"专杀工具(英文)
http://bbs.long-jf.com/0429/user ... ws-KB841720-ENU.rar微软网站上的地址:
http://www.microsoft.com/downloa ... &DisplayLang=en5、“震荡波”最新d型变种的情况看这儿:
——金山公司已经处理“震荡波”最新d型变种
2004年5月3日晚10点,金山公司病毒应急处理中心捕获“震荡波”病毒最新的d变种,经过分析和处理,发现d型变种与c型病毒相比,有如下改变:
1、D型释放的病毒文件名称为kynetave.exe (c型是avserve2.exe),估计是为了反杀毒软件的搜索
2、D型病毒同样创建1024个线程,不过在产生随机IP地址的时候跳过了一些保留的地址(如127.0.0.1 10.x.x.x、172.[16-31].x.x等等)
3、判断已经感染的方式有改变,增加了对SkynetSasserVerionWithPingFast互斥体的判断
估计D型病毒的破坏力与C型相当。
“金山公司提供的震荡波病毒专杀工具:
http://download.duba.net/download/othertools/Duba_Sasser.EXE