今天的病毒，我朋友的电脑已经中毒了，诺顿和卡巴斯基还不能查杀
挺厉害的，大家赶快升级系统。

“振荡波”病毒惊现网络 互联网再次面临重大威胁
--------------------------------------------------------------------------------
www.rising.com.cn 2004-5-1 18:16:00 信息源:瑞星公司

广告

　　［快讯］就在瑞星公司于4月29日晚刚发布一级安全警报之后，5月1日上午，瑞星全球反病毒监测网率先截获利用这个重大漏洞的高危病毒——“振荡波”病毒（I-Worm/Sasser ），该病毒将使互联网和用户电脑系统再次面临重大危险，其破坏程度有可能超过“冲击波”。

　　在瑞星发布的一级安全警报中称，目前有90％以上的Windows2000/XP/2003用户没有给一个系统漏洞打上补丁程序，而“振荡波”病毒正是通过这个被微软定义为最高级别的漏洞进行传播的，因此瑞星反病毒工程师预测将有众多电脑被该病毒攻击，极有可能造成大规模泛滥。

　　根据分析，“振荡波”病毒会在网络上自动搜索系统有漏洞的电脑，并直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。

　　“振荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒，那就是造成电脑反复重启。

　　简要技术分析

　　瑞星反病毒专家王耀华介绍，该病毒会通过FTP 的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在C:\WINDOWS目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。

　　“振荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。

　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。

　　瑞星行动

　　瑞星公司已于5月1日晚进行了紧急升级，瑞星杀毒软件16.24.42以上版本可以有效查杀该病毒。 此外，瑞星公司还向广大非瑞星用户提供了该病毒的专杀工具，用户可以登陆：http://it.rising.com.cn/service/technology/tool.htm 网址免费下载。


　　如何防范“振荡波”

　　首先，用户必须迅速下载微软补丁程序，对于该病毒的防范，http://www.microsoft.com/china/tech...n/ms04-011.mspx。

　　瑞星用户迅速升级杀毒软件到最新版本，然后打开个人防火墙，将安全等级设置为中、高级，封堵病毒对该端口的攻击。

　　非瑞星用户迅速登陆瑞星公司网站下载免费的专杀工具，下载地址为：
http://it.rising.com.cn/service/technology/tool.htm

　　如果用户已经被该病毒感染，首先应该立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。

[QUOTE]最初由 bbsriver 发布
[B]我们单位4月中旬就向全国所有部门发出通知必须打这个补丁了，看IT部的人忙了一个星期给2000多台电脑打这个补丁～ [/B][/QUOTE]


SUS，easy to distribute the system patch to all the computer in your site.
It's important that SUS is free for person and company.
Though my site is much small than yours,I also setup the SUS server.
But then,I do admire the IT guys of your company.