“震荡波”恶性爆发华军金山联合提供解决方案

    5月1日一大早，金山的客服中心便不断的接到用户求助电话，纷纷反应受到了病毒的侵害，普遍现象为电脑不断重启、死机，非常像去年“冲击波”病毒。

    据金山反病毒中心介绍，该病毒利用微软在4月13日时公布的新漏洞――WINDOWS平台的Lsass漏洞进行广泛的传播。从win98到Windows 2003，所有的Windows操作系统无一幸免。鉴于用户对于漏洞补丁缓慢的应用速度，可能许多用户还没有及时安装。此时正值五一节日上网高峰，估计将有极大危害性，特别是五一过后上班时，可能会造成电脑大面积瘫痪现象。

什么现象表明已中毒：

    如果用户还没有打补丁，那么只要连接互联网，都有可能受到该病毒的侵害，如果看到以下界面及提示文字，机器运行缓慢、网络堵塞、并让系统不停的进行倒计时重启，表明用户已中“震荡波”病毒。





病毒技术特点：

    和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。

A、在注册表主键：
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  下添加如下键值:
  "avserve.exe" = %SystemRoot%\avserve.exe
B、拷贝其本身至系统目录：
%System%\<5位随机数字>_up.exe
C、在C盘根目录创建以下文件：
C:\win.log(该文件用以记录本地主机的IP地址)
D、该病毒会监听以1068起始的TCP端口，同时扫描随机的IP地址；
E、它还会开启TCP端口5554来建立一个FTP服务器，用于传播病毒本身；
F、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致LSASS.EXE的崩溃，当LSASS.EXE崩溃时系统默认会重启。

如何解决：

    金山反病毒中心向所有用户建议：立即升级毒霸到5月1日的病毒库，该病毒库可完全处理“震荡波”； 使用金山公司提供的，不用下载补丁（无法下载补丁）也可防杀震荡波的专杀工具；立即到微软的站点去下载并安装该漏洞的补丁：请点击这里；打开个人防火墙屏蔽端口：445、5554和1068，防止名为avserve.exe的程序访问网络。

    如果您还没有杀毒软件，可以到华军软件园安全频道（点击这里）定制金山毒霸6全功能下载版

    也可以到金山毒霸官方网站（点击这里）使用在线杀毒