关于加强防范"震荡波"病毒的紧急通知

　　近期，互联网上出现了一种新型恶性病毒--"震荡波"（Worm.Sasser），该病毒利用windows平台的Lsass漏洞进行广泛攻击，并通过命令易受感染的机器下载特定文件进行传播，影响网络正常运行。请广大计算机用户及时采取有关防治措施，安装系统补丁，升级杀毒软件，避免受到该病毒感染传播。

病毒名称：“震荡波”（Worm_Sasser）
其它英文命名：Worm.Sasser.b （金山）
　　　　　　　 I-Worm/Sasser.c （江民）
　　　　　　　 WORM_SASSER.B （Trend）
　　　　　　　 Worm.Sasser.b （瑞星）
　　　　　　　 W32/Sasser.worm.b （McAfee）
　　　　　　　 Worm.Win32.Sasser.b （Kaspersky）
　　　　　　　 W32/Sasser-B （Sophos）
　　　　　　　 Win32.Sasser.B （Computer Associates）
　　　　　　　 W32.Sasser.B.Worm （Symantec）

感染系统：Windows 2000, Windows NT,Windows Server 2003, Windows XP

病毒特征：

　　通过邮件和共享文件夹进行传播，病毒驻留内存，修改注册表，在系统目录下创建文件，使用UPX压缩。

1、生成病毒文件

　　病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe或avserve2.exe。
（其中，%Windows% 是Windows的默认文件夹，通常是 C:\Windows 或 C:\WINNT）
　　用户可以通过在上述文件夹中搜索这两个文件以判断是否已被感染。

2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
"avserve.exe" = %SystemRoot%\avserve.exe 或
"avserve2.exe" = %SystemRoot%\avserve2.exe

3、通过系统漏洞主动进行传播

　　该病毒利用了Windows LSASS的一个已知漏洞(MS04-011)，这个一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。

4、危害性

　　受感染的系统可能会出现倒计时对话框，频繁重新启动，系统运行速度明显减慢或死机，上网只能持续很短时间就无法浏览甚至断网等现象。病毒扫描IP地址，目标端口为TCP 445会对网络性能有一定影响，尤其局域网可能造成网络瘫痪。

清除该病毒的相关建议：

１、下载"震荡波"病毒专杀工具及针对Windows LSASS漏洞的补丁程序：
　　专杀工具：“震荡波(Worm.Sasser)”病毒专杀工具
　　系统补丁程序：Windows 2000　　Windows XP　　Windows 2003 server

2、安全模式启动

　　重新启动系统同时按下按F8键，进入系统安全模式(safe mode);

3、运行"震荡波"病毒专杀工具并安装系统补丁程序 .