震荡波病毒补丁(Worm.Sasser)(xp/win2003/win2000)

病毒详细介绍

“震荡波”利用WINDOWS平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。

“震荡波”病毒的发作特：

类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。

该病毒会通过FTP 的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在c:\windows\目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。

“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中建立："avserve.exe"=%windows%avserve.exe的病毒键值进行自启动。

该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。

什么是震荡波病毒的征兆

网络不畅，IE浏览均显示找不到服务器，但通过DOS窗口ping运行命令测试，发现网络是通的。觉得奇怪，没太在意，重启机器，恢复正常。没想到，几分钟后故障依旧，而且这次重启后明显感觉机器速度变慢，打开“任务管理器”查看进程，发现一名为avserve.exe的程序CPU占用率非常的高，而且稳定。初步感觉可能是中毒了，马上结束该进程，从注册表启动项里删除该程序，在C盘XP目录下的system32目录下找到该程序，删除，下载了新的病毒库，查毒，未发现病毒（因为是新病毒）。再次重启机器，再次发现该病毒，在这时，突然弹出下图窗口，LSASS.exe进程意外中止，系统将在60秒内关机，联想到大名鼎鼎的“冲击波”，确信一种新病毒来袭，而且又是来势凶猛，由于放假，估计5.1后大面积发作可能性较大。