 |
快速导航
|
 |
|
|
新闻中心 |
|
|
| “震荡波”病毒正在爆发 危害直逼“冲击波” |
| 新闻来源:网管中心 责任编辑:网管中心 时间:2005-4-13 0:47:48 |
5月1日,国内反病毒软件公司先后截获一个利用Windows平台Lsass漏洞的新病毒——“震荡波”。该病毒的潜在危害有可能超过去年爆发的“冲击波”病毒。
尽管微软已经发布了修复Lsass漏洞的补丁程序,但据估计目前有90%以上的Windows 2000/XP/2003用户没有给一个系统漏洞打上补丁。根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。中招后的系统将开启上百个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。
瑞星反病毒专家王耀华介绍,该病毒会通过FTP的5554端口攻击电脑,一旦攻击失败会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成功,病毒会将文件自身传到对方机器并执行病毒程序,然后在C:WINDOWS目录下产生名为avserve.exe的病毒体,继续攻击下一个目标,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run中建立:"avserve.exe"=%windows%avserve.exe的病毒键值进行自启动。
该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
建议用户立即到微软的站点去下载并安装该漏洞的补丁;立即升级反病毒软件的病毒数据库;打开个人防火墙屏蔽端口:5554和1068,防止名为avserve.exe的程序访问网络。用户还可以下载瑞星公司免费的专杀工具。如果用户来不及下载微软的补丁,或下载的补丁无法正常安装,也可以下载瑞星独家提供的一个只有80K大小的补丁。
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。 |
| 新闻发布:admin |
| 【打印本文】 【大 中 小】 【关闭窗口】 |
|
|
