【www.hzclsc.cn--热门资讯】
> 5月1日一大早,金山的客服中心便不断的接到用户求助电话,纷纷反应受到了病毒的侵害,普遍现象为电脑不断重启、死机,非常像去年“冲击波”病毒。
据金山反病毒中心介绍,该病毒利用微软在4月13日时公布的新漏洞――WINDOWS平台的Lsass漏洞进行广泛的传播。从win98到Windows 2003,所有的Windows操作系统无一幸免。鉴于用户对于漏洞补丁缓慢的应用速度,可能许多用户还没有及时安装。此时正值五一节日上网高峰,估计将有极大危害性,特别是五一过后上班时,可能会造成电脑大面积瘫痪现象。
什么现象表明已中毒:
如果用户还没有打补丁,那么只要连接互联网,都有可能受到该病毒的侵害,如果看到以下界面及提示文字,机器运行缓慢、
网络堵塞、并让系统不停的进行倒计时重启,表明用户已中“震荡波”病毒。
病毒技术特点:
和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。
A、在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe
B、拷贝其本身至系统目录:
%System%\<5位随机数字>_up.exe
C、在C盘根目录创建以下文件:
C:\win.log(该文件用以记录本地主机的IP地址)
D、该病毒会监听以1068起始的TCP端口,同时扫描随机的IP地址;
E、它还会开启TCP端口5554来建立一个FTP服务器,用于传播病毒本身;
F、由于该病毒本身编写的漏洞存在,它运行一段时间后会导致LSASS.EXE的崩溃,当LSASS.EXE崩溃时系统默认会重启。
如何解决:
金山反病毒中心向所有用户建议:立即升级毒霸到5月1日的病毒库,该病毒库可完全处理“震荡波”; 使用金山公司提供的,不用下载补丁(无法下载补丁)也可防杀震荡波的专杀工具;立即到微软的站点去下载并安装该漏洞的补丁:请点击这里;打开个人防火墙屏蔽端口:445、5554和1068,防止名为avserve.exe的程序访问
网络。
如果您还没有杀毒软件,可以到华军软件园安全频道(点击这里)定制金山毒霸6全功能下载版
也可以到金山毒霸官方网站(点击这里)使用在线杀毒
本文来源:http://www.hzclsc.cn/news/13364.html