«12 3 » Pages: ( 3/3 total )
本页主题: [重大警告][合并]lsass.exe突然停止要重启--—一波未平,一波又起 “震荡波”最新d型变种 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

狗狗
加菲's
级别: 管理员


精华: 10
发帖: 4860
威望: 10315 点
金钱: 10295 静电币
支持度: 20130 点
在线时间:1420(小时)
注册时间:2001-11-20
最后登录:2024-12-21

 

昨天上海新闻也放了
Posted: 2004-05-04 12:57 | 30 楼
freebeme
级别: 光明使者


精华: 3
发帖: 2079
威望: 270 点
金钱: 2285 静电币
支持度: 0 点
在线时间:47(小时)
注册时间:2002-08-31
最后登录:2015-03-23

 

我记得rpc的时候好像央视也放了/
Posted: 2004-05-04 14:47 | 31 楼
hebinnick
级别: 圣骑士


精华: 0
发帖: 161
威望: 12 点
金钱: 156 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2004-03-11
最后登录:2007-08-17

 

有symantic的的补丁没?
Posted: 2004-05-04 22:48 | 32 楼
yst088
级别: 新手上路


精华: 0
发帖: 3
威望: 49 点
金钱: 539 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2002-04-20
最后登录:2016-05-04

 

不是瑞星总能先发现,而是瑞星最会造势
Posted: 2004-05-06 21:16 | 33 楼
cancelpj
好帅好帅滴碟仙~
级别: 贵宾


精华: 3
发帖: 442
威望: 360 点
金钱: 5401 静电币
支持度: 4 点
在线时间:36(小时)
注册时间:2002-11-25
最后登录:2008-07-24

 “震荡波”病毒[警告]

根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。
  “震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。
  瑞星反病毒专家王耀华介绍,该病毒会通过FTP 的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
  “震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
  该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。


病毒名称: Worm.Sasser
中文名称: 震荡波
威胁级别: 3A
病毒别名: W32/Sasser.worm [Mcafee]
病毒长度: 15,872Bytes
病毒类型: 漏洞蠕虫
受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003

破坏方式:
· 利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
·和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
·文件名为:avserve.exe

具体看
中文: http://www.duba.net/c/2004/05/01/111490.shtml
英文: http://securityresponse.symantec.com/avcen...asser.worm.html

无论什么情况,一旦你的LSASS.EXE进程被终止,系统提示重启
那么请务必检查你是否已经感染了病毒

请立即安装MS04-011补丁程序
http://www.microsoft.com/technet/security/...n/MS04-011.mspx

金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。

  非金山或者瑞星用户迅速下载免费的专杀工具,下载地址为:http://dl.pconline.com.cn/html/1/8/dlid=13058&dltypeid=1&pn=0&.html。

  如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。
Posted: 2004-05-07 01:04 | 34 楼
cancelpj
好帅好帅滴碟仙~
级别: 贵宾


精华: 3
发帖: 442
威望: 360 点
金钱: 5401 静电币
支持度: 4 点
在线时间:36(小时)
注册时间:2002-11-25
最后登录:2008-07-24

 

看看你们有没有装KB835732补丁。
Posted: 2004-05-07 01:07 | 35 楼
qiaoqiufen
级别: 骑士


精华: 0
发帖: 106
威望: 45 点
金钱: 969 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2002-09-06
最后登录:2005-05-02

 一波未平,一波又起 “震荡波”最新d型变种

金山公司已经处理“震荡波”最新d型变种

  2004年5月3日晚10点,金山公司病毒应急处理中心捕获“震荡波”病毒最新的d变种,经过分析和处理,发现d型变种与c型病毒相比,有如下改变:

  1、D型释放的病毒文件名称为kynetave.exe (c型是avserve2.exe),估计是为了反杀毒软件的搜索

  2、D型病毒同样创建1024个线程,不过在产生随机IP地址的时候跳过了一些保留的地址(如127.0.0.1

  10.x.x.x、172.[16-31].x.x等等)

  3、判断已经感染的方式有改变,增加了对SkynetSasserVerionWithPingFast互斥体的判断

  估计D型病毒的破坏力与C型相当
金山公司提供的震荡波病毒专杀工具
http://download.duba.net/download/o...Duba_Sasser.EXE
Posted: 2004-05-07 18:25 | 36 楼
freebeme
级别: 光明使者


精华: 3
发帖: 2079
威望: 270 点
金钱: 2285 静电币
支持度: 0 点
在线时间:47(小时)
注册时间:2002-08-31
最后登录:2015-03-23

 

有没有炒作嫌疑?
Posted: 2004-05-07 19:12 | 37 楼
yichenye
级别: 咿呀学语


精华: 0
发帖: 1
威望: 18 点
金钱: 220 静电币
支持度: 0 点
在线时间:1(小时)
注册时间:2003-03-07
最后登录:2007-07-15

 感谢!

已经打好补丁!谢谢!
你们这里是一流的!
Posted: 2004-05-07 23:26 | 38 楼
小神
我不要头衔
级别: 贵宾


精华: 14
发帖: 15287
威望: 2803 点
金钱: 6689 静电币
支持度: 4413 点
在线时间:348(小时)
注册时间:2002-08-29
最后登录:2008-03-14

 微软公开可删除“震荡波”D变种的杀毒工具

Posted: 2004-05-15 01:17 | 39 楼
«12 3 » Pages: ( 3/3 total )
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor