潘无忧 2008-4-16 21:02
来势凶猛的震荡波病毒
5月5日早,正在值班的太原市某公司工程师小李发现本公司与互联网连接的服务器响应奇慢,公司代理服务停止响应,遂按常规进行排查,重新启动、病毒扫描、重新安装软件……,3个小时过去了,仍然不解决问题。无奈,只好请正在休假的技术总监前来“会诊”。结果发现系统中有一个名为AVSERVE.EXE的进程占用了系统100%的资源。经权威机构证实,该公司的服务器感染了“震荡波”病毒! 自从5月1日“震荡波”病毒出现以来,全世界成千上万的电脑工程师感受了与小李一样的“苦难”,而且该病毒正在通过遍布全球的国际互联网络,给越来越多的计算机造成威胁和危害。一些相关的研究机构称,全球感染“震荡波”病毒的计算机已经达到数百万台。
据业内人士介绍,感染“震荡波”病毒的计算机系统可能呈现出以下五大特征:一是可能出现“LSA Shell服务异常”对话框,接着出现“一分钟后重启计算机”的系统关机对话框;二是系统资源被大量占用,CPU占用率达到100%,电脑运行异常缓慢,网络服务软件无法工作,速度突然变慢或断线,点击网页链接无响应,桌面或系统图标双击无法打开等等;三是内存中出现名为avserve的进程;四是系统目录中出现名为avserve.exe的病毒文件;五是注册表中出现病毒键值。
据专家介绍,“震荡波”病毒英文名为Worm.Sasser,与早些时候的“冲击波”蠕虫病毒类似,利用WINDOWS操作系统的安全漏洞进行传播,用户不需要接收电子邮件或者打开文件就可以被感染。受该病毒影响的操作系统为WindowsNT、Windows2000、WindowsXP、Windows2003等。 尽管微软公司早在4月份就已经发布了升级程序来修补相关系统漏洞,但许多计算机并没有进行升级。
专家建议接入互联网的计算机用户,尤其是宽带接入且全天在线的用户,应迅速检查自己的计算机系统,进行相应的升级和维护。
“震荡波”病毒的危害不容忽视
从5月1日开始,一种被命名为“震荡波”(英文名Worm.Sasser)的病毒通过国际互联网在全球范围内迅速传播,目前已有数百万台PC机和服务器受到感染,给相关单位和个人的业务造成了严重影响。业内专家分析,随着“五一”长假的结束,更多的“休假”电脑将重新开启,“震荡波”病毒的感染范围和破坏强度都有可能迅速扩大。专家建议运行WINDOWS系列操作系统的单位和个人,应尽快采取有效措施,将病毒侵害降至最低。
据记者了解,该病毒主要有三大危害:一是大量占用系统资源导致计算机无法正常运行,使相关的网络服务陷于瘫痪;二是造成电脑频繁重启,用户的作业受到严重影响;三是阻塞网络通道,导致互联网接入以及相关的网络程序无法正常运行。另外,由于该病毒利用操作系统漏洞进行传播,许多防病毒软件和防火墙软件尚不能有效查杀,所以极易在单位的局域网范围内迅速扩散,造成整个网络的瘫痪。业内人士认为,该病毒与去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒相比有过之而无不及。
由于环境不同,各种行业系统感染“震荡波”病毒以后表现也不同。在金融系统主要表现为服务器停止响应用户的账单申请,终端用户无法通过网络查询、办理业务;电信和网络运营商可能因感染病毒使用户无法接入INTERNET;个人用户会因电脑频繁启动、响应缓慢而无法正常工作;该病毒会使WINDOWS系统的“安全认证子系统”(LSASS)崩溃,使与安全认证有关的程序出现严重运行错误;有些特殊行业用户还可能因系统意外停机而造成数据丢失或损毁,后果十分严重。
由于该病毒导致电脑频繁重新启动,不明原因的用户往往会怀疑是主板等硬件故障,给电脑厂家和维修人员也带来诸多不必要的麻烦。记者的一位朋友“五一”期间刚买了一台新电脑并接入了宽带,就因感染了“震荡波”病毒而在两天里五次前往厂家的维修部。因不明“病因”,维修工程师多次重新安装系统使电脑恢复正常,可朋友拿回家时间不长,就又出现了相同的故障,直到工程师向总部求救并安装了微软的升级补丁才解决问题。一位维修工程师无奈地对记者说:“”‘震荡波’可把我们害苦了。”
专家分析认为,“震荡波”病毒有可能在节后的几天出现大爆发局面,其感染范围和破坏强度都有可能超过“五一”期间的疫情高峰。有关部门和人员应予以高度重视,采取有效的补救和防范措施,以免造成不可挽回的损失。一些反病毒公司和科研机构还建议各电信运营商、宽带运营商和企事业单位局域网采取相关措施,关闭被病毒利用的端口,抑制“震荡波”病毒在骨干网络中的传播。
专家教你查杀“震荡波”病毒
如果你的电脑不幸感染了“震荡波”病毒,可以按照计算机专家提出的方法对病毒进行彻底查杀并进行系统升级。
首先,要清除内存中的病毒进程,否则系统资源被占,其他操作根本无法运行。用户可以按“CTRL+SHIFT+ESC”三键组合,或者右键单击任务栏来启动“任务管理器”,从中找到名为“avserve.exe”的进程,直接将它结束。
其次,下载微软的升级程序并“断网打补丁”。微软的相关升级程序可在http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载。下载完成后,要断开INTERNET连接,然后运行升级补丁程序。
第三要删除病毒文件。病毒感染系统时会在WINDOWS系统安装目录下产生一个名为avserve.exe的病毒文件,并在系统目录下生成一些名为*_UP.exe的病毒文件,用户可以通过系统的资源管理器查找这些文件,找到后删除。如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。
第四应删除注册表中的病毒键值。该病毒会在电脑注册表中建立名为“avserve.exe”的键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除。对注册表不熟悉的用户最好请高手指点,以免因误操作造成系统瘫痪。
另外,许多杀毒软件厂商都针对“震荡波”进行了病毒代码升级,用户应及时升级防火墙和病毒代码库,使系统经常保持在最佳的安全状态。
网络时代要学会与“病毒”共舞
随着网络的普及,特别是宽带用户的迅速增长,计算机病毒的传播速度和危害程度也与日俱增。新的病毒不断涌现,传播方式和途径千变万化,使每一个身处网络世界的人们防不胜防。遗憾的是,就像没有任何一种药可以治疗所有的疾病一样,在网络世界也没有一种杀毒软件可以查杀所有可能出现的计算机病毒。业内人士幽默地说,在网络时代,人们必须学会与“病毒”共舞。
计算机病毒的产生和发展几乎伴随了整个计算机产业发展的全过程。一开始计算机病毒主要附着在文件或磁盘分区表上,通过软盘在计算机之间传播。后来盗版光盘软件的盛行使病毒的传播速度大大加快,计算机病毒开始从机构用户向普通用户扩散。互联网的发展,特别是宽带的日益普及,为病毒传播提供了更大的便利。在网络时代,计算机之间全天候“密切”接触,病毒的传播和入侵突破了时间和空间的限制,其破坏性也从对文件数据的破坏,转变为对网络资源的毁损。
谈到计算机病毒,许多人都有这样的认识,以为不接收陌生邮件、不上不健康网站、不运行盗版软件就可以远离病毒,其实不然。“震荡波”病毒的迅速传播以及此前出现的“冲击波”等蠕虫病毒的肆虐表明,计算机病毒正在得益于网络的普及,由被动的携带传播向主动扩散传播转变。只要你接入网络,即使没有进行任何操作,也有可能被病毒感染。所以在网络世界,任何人也不能避开计算机病毒的侵扰。
随着计算机科学的发展和信息技术的普及,病毒的研发群体也呈现越来越明显的低龄化特征。不少青少年计算机爱好者加入了病毒编写的行列,希望通过编写一个最有威慑力的病毒而一夜成名。而网络的发展给这些计算机天才们提供了一个极佳的病毒试验场。另一方面,计算机病毒的层出不穷使防病毒软件公司不断涌现,甚至催生了一个全新的反病毒产业。
越来越多的事实表明,防病毒并不再只是计算机专家的事情,任何与计算机和网络打交道的人都必须具备基本的病毒知识和防病毒技巧,否则将随时面临病毒的威胁而手足无措。计算机病毒的发展促使人们必须加强对新知识的学习与关注,因为在网络时代,仅仅“洁身自好”已经远远不够,人们必须时刻关注自己是否已经受到了病毒的侵袭与干扰。所以只要你想使用电脑和网络,你就必须学会认识病毒、安装必要的杀毒软件,并及时升级。对于WINDOWS的用户,还必须要经常留意微软公司的安全公告,及时下载升级补丁。
