下沙论坛

标题: 如何快速识别震荡波(Worm.Sasser)病毒 [打印本页]

作者: 煎饼    时间: 2004-5-3 00:13
标题: 如何快速识别震荡波(Worm.Sasser)病毒
www.rising.com.cn  2004-5-1 22:35:00  信息源:瑞星公司  
- \9 I( Z% m7 Z& B- C 8 N& f2 U6 [$ w6 `0 J$ U: o# p/ Y
广告   
* e0 z+ \% W" i9 N7 B 9 L% w4 w" {; @4 W
  5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹,该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS04-011 公告)进行传播的,危害性极大,目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞,这些操作系统的用户只要一上网,就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。
' O- v! q% ~' ^, @+ ?) w7 u& N, @2 J6 c9 `6 c" |
  如果用户的电脑中出现下列现象之一,则表明已经中毒,就应该立刻采取措施清除该病毒。
4 ?& i, e6 r3 t2 u! k+ g0 g- ~
& }! y4 b: ]8 ]! H" X& y8 n  一、出现系统错误对话框  
7 K5 B, }# t* s. C$ l- u
: x$ ]) C7 W( F) d* ~* N  被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。 ! E* `% R' l- @9 x/ t- z

8 G7 l; w2 L$ }  ^
2 V2 @+ C+ V' f9 U2 s
! ~1 ?1 b2 m7 H1 Y& g5 l, H  二、系统日志中出现相应记录
$ {1 ?+ |+ B0 V) B4 D: t# ^
- _" d! N% P& Z$ Y( i# x" A  如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。方法是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。
! n; O/ Z  ~) a9 ^1 X
/ |% }  b6 W/ r( K/ a2 h
8 N' s1 T, j& b; O8 F2 {0 x- n9 T( d$ E0 ]9 `# X  a9 y( B
  三、系统资源被大量占用 4 |+ W8 L; }6 ]7 z6 _7 [/ z
; Q0 B0 `0 V1 V
  病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。
- @1 {) [0 O. b( o9 Z$ \
# S4 [6 N3 g( n8 }7 B3 l  四、内存中出现名为 avserve 的进程 % V: p+ b, U% H" I0 L( z2 E0 b

, m3 S+ i3 q2 m+ U, g  病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。
; S! \& |4 c/ d! `4 X: c5 _2 A' p2 F" Q& |( d
  五、系统目录中出现名为 avserve.exe 的病毒文件 " f) m+ Y- X3 ]3 T0 {: K0 v
/ }% U$ `' P% m! I7 J( |' t6 T
  病毒如果攻击成功,会在系统安装目录(默认为 C:\WINNT )下产生一个名为avserve.exe 的病毒文件。 " O/ i/ I- s8 |3 U/ V3 f

$ G0 B' H$ y6 Q/ H. d; f  六、注册表中出现病毒键值
7 z- b5 U7 \8 H+ b0 k
4 W( _' s- R0 D3 q3 g& t  病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\avserve.exe " 。 9 Y7 k; u/ p" t4 G% ?3 n

' B' K+ U. b+ b/ e) ]- e
作者: 佚云    时间: 2004-5-3 00:24
还N早就打了补丁,没感觉到,哈哈~~我同寝室的N天前中了,哈哈~~




欢迎光临 下沙论坛 (http://bbs.xiasha.cn/) Powered by Discuz! X3.3