(云南省地震局信息中心网络部 刘琼仙)

一、状况说明

　　今年度最具破坏性的网络蠕虫「震荡波病毒」“WORM_SASSER”，利用微软操作系统弱点 LSASS (Local Security Authority Subsystem Service，本地安全性授权子系统服务) 透过445连接端口对全球网络发动攻击，迅速攻击全球各地计算机用户，并已经造成重大灾情。值得注意的是，任何已经开机并且连网的计算机，都可能感染震荡波病毒。这种病毒不必靠电子邮件传播，只要计算机开机就有中毒可能。目前主要灾情是，许多计算机出现自动重复开机的情况，并且网络连接也出现不正常情况，浪费许多了频宽资源以及被感染计算机不断当机与重新开机所耗费的时间，同时计算机交互感染病毒并相互攻击情况严重，去年八月发生席卷全球的冲击波病毒效应再度出现。

二、感染系统

　　Windows NT、2000、XP及2003操作系统，但 Windows95/98/ME等系统也会遭受攻击但不会中毒。

三、如何判断中毒

　　１.出现系统错误对话框

　　被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。

　　2.系统日志中出现相应记录

　　如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，描述中出现“一个关键系统进程，C：\WINDOWS\system32\lsass.exe，失败，状态代码是c000005,必须现在重新启动机器”的文字，则证明机器已经中毒。

　　3.系统资源被大量占用

　　病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。

　　4.内存中出现名为 avserve 的进程

　　病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。

　　5.系统目录中出现名为 avserve.exe 的病毒文件

　　病毒如果攻击成功，会在系统安装目录（默认为 C:\WINNT ）下产生一个名为avserve.exe 的病毒文件。

　　6.注册表中出现病毒键值

　　病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值： "avserve.exe "="%WINDOWS%\avserve.exe " 。

　　7. 企业内部网络流量突然变大，系统不稳网络变慢，TCP 445 port流量很大。

四、清毒步骤

　　若不慎中了震荡波病毒，请依照以下步骤来清除病毒：

　　1. 上网安装微软修补程序：下载MS04-011 更新程序

　　http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

　　2. 升级计算机上的防病毒程序，目前，国内知名品牌的防病毒软件都已进行了升级并有相应的专杀工具

　　3. 先中断已中毒计算机与互联网的连接（如果无法正常开机，请先开机至安全模式）

　　4. 执行病毒清除程序，将病毒清除掉

　　5. 安装微软修补程序MS04-011（KB835732）

　　6. 重新开机

　　7. 若无法正常，请寻找一台可正常运作的计算机，迅速下载软修补程序及病毒清除程序，并拷贝至中毒计算机。