“震荡波”来了 我不怕

软件世界

李锋 · 2004年5月17日

　　病毒档案

　　病毒名：Worm.Sasser.

　　病毒别名：W32/Sasser.worm

　　中文名：震荡波

　　病毒大小：15,872字节

　　病毒类型：蠕虫病毒

　　变种：Worm.Sasser.B/C/D/E

　　感染系统：Windows NT/2000/XP/2003

　　关键字：LSASS、Sasser、avserve.exe

　　在2004年5月1日开始的短短几天内，“震荡波”病毒已经利用微软的系统漏洞──LSASS漏洞在网上攻击了全球一千多万台计算机。时至今日，“震荡波”的余威仍未散去，其变种层出不穷。它跟去年的“冲击波”有点类似，中毒后不久便会出现一个倒计时关机的系统对话框，不过比“冲击波”严重的是“震荡波”攻击的系统更为广泛，Windows 98以上有漏洞的系统计算机都可能中招。

　　小知识：什么是LSASS漏洞

　　本地安全性授权服务(LSASS，LocalSecurityAuthoritySubsystemService)提供一种接口，用来管理本地的安全、网络的授权及ActiveDirectory服务。最近发现LSASS服务中存在未检查的缓冲区，导致存在缓冲溢出漏洞。攻击者成功利用该漏洞可以获得系统管理员权限。

　　三招辨明“震荡波”

　　1.出现倒计时窗口

　　中了“震荡波”病毒的初始症状便是明显感觉到电脑运行比较迟缓、跟安全认证有关的程序会出现严重运行错误。并出现图1和图2的系统提示框。然后电脑不断重启。

　　2.观察进程

　　当电脑感染“震荡波”病毒后，按下“Ctrl+Alt+Del”组合键，打开Windows任务管理器，查看系统进程，会发现有“avserve.exe”、“avserve2.exe”或者“skynetave.exe”这几个进程在运行。并且它的CPU占用率极高(如图3)，使系统资源被大量占用，是电脑运行异常缓慢的原因所在。

　　3.查看系统文件和注册表

　　感染病毒后，系统目录和注册表中“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”分支会出现的字样有：A型为avserve.exe、B/C型为avserve2.exe、D型为skynetave.exe、E型为lsasss.exe。值得警惕的是新型的变种名在不断地变化，我们需要加强防治震荡波。

　　防治“震荡波”

　　1.“防”患于未然

　　对于还没有受到“震荡波”病毒影响的系统，应该立即开启病毒防火墙和网络防火墙，将安全等级开启到中级或高级，禁用445、5554、9995、9996、1023、1068端口，并及时更新病毒库。

　　其次，赶紧到微软官方网站下载相关的补丁程序。

　　下载页面：http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

　　2.“治”标也治本

　　已经中了“震荡波”病毒的朋友不要着急，应该立即下载“震荡波”专杀工具清除病毒，然后开启防火墙和禁用相应端口，最后安装系统补丁就OK了。如果暂时无法上网下载杀毒软件，可以先进行下面手动清除的工作。

　　a.因为中毒后系统会出现关机倒计时窗口，为了争取时间，可以点击“开始→运行”，输入shutdown-a并回车，系统就不会立即重启了。

　　b.在系统进程中关闭所有xxxx_up.exe(xxxx为4到5个任意数字)和avserver.exe、avserve2.exe、lsasss.exe或者skynetave.exe进程。

　　c.重启到安全模式，手动删除windows\system32\下名为xxxx_UP.exe文件，删除Windows目录下的avserver.exe、avserve2.exe、lsasss.exe或者skynetave.exe文件，以及注册表中相关的键值。

　　专杀工具：

　　瑞星专杀

　　下载地址：http://download.rising.com.cn/zsgj/RavSasser.exe

　　金山毒霸专杀

　　下载地址：http://download.duba.net/download/othertools/Duba_Sasser.exe

　　“震荡波”问题小集锦

　　Q：在哪种模式下打补丁好些？

　　A：推荐在安全模式下，确定没有感染文件后安装补丁程序。

　　Q：安装“震荡波”补丁时显示“安装程序不能验证Update.inf文件的完整性，请确定加密服务正在此计算机上运行”，导致无法安装补丁。该如何解决这个问题？

　　A：首先请确认是否彻底清除了“震荡波”病毒。然后点击“开始→运行”，输入services.msc，打开“服务”窗口，找到“CryptographicServices”服务并禁止该服务。

　　再打开系统目录WINNT(WINDOWS)\System，找到“catroot2”文件夹，将它删除或重命名。最后在“服务”窗口中，将“CryptographicServices”服务启动。之后就可以正常安装系统补丁了。