这个名为"震荡波"(又名“杀手”)(Sasser)的病毒通过微软视窗操作系统的漏洞在网上传播,全世界成千上万台电脑因受感染而造成业务中断。
这个迅速蔓延的病毒类似去年“疾风”电脑病毒,会透过网路自动传染给使用微软视窗作业系统的电脑,特别是Windows2000与XP。这两种病毒同样都是利用视窗软体中的新漏洞,且常造成电脑重新开机。微软公司上个月宣布了视窗系统的这个漏洞,发布了补丁程序,并敦促用户立即升级电脑。电脑安全专家分析说,没有安装补丁程序的电脑在上网后十分钟就可能感染。
“SASSER”病虫不必依赖电脑使用者点两次附加档即可启动,就算当时没有人在用电脑,一样可以发挥侵袭的效果。当电脑受到感染,就可能出现错误的讯息,而电脑就会不断地重新启动。
目前已有数间大型跨国企业传出灾情惨重,被迫暂时停止营业。根据报导,澳洲新南威尔斯铁路公司可能已遭该病毒侵袭。当地铁路交通在二日遭到干扰,列车驾驶无法与铁路局人员交谈,导致三十万名乘客在月台上枯等。达美航空也在一日出现可能由“SASSER”引起技术性故障,被迫取消若干航班。此外,芬兰第三大银行Sampo三日表示,为预防电脑系统遭到“SASSER”侵袭,将暂时关闭全国一百三十家分行。澳大利亚的西太平洋银行已经遭到了病毒的入侵,导致银行工作人员不得不用纸和笔来继续交易工作。
到目前为止,受到该病毒危害的还有台湾的国家邮局以及布鲁塞尔的欧盟委员会总部。
专家建议,企业应在内部网路架设防火墙阻绝“SASSER”与其相关变种病毒,而家用电脑使用者应确保已下载修正码的软体修补程式来修复破绽。
如果您的电脑已经安装了Microsoft MS04-011的修正程式,将可以免于Sasser的威胁。如果您的电脑路径C:Winnt 或是C:Windows 有出现avserve.exe档案,那么您的电脑可能已经感染Sasser蠕虫。
受到此病虫感染的电脑,请依下步骤排除:
1.删除病毒程序
1.1 开启Windows 工作管理员,Windows NT/2000/XP系统, 请按CTRL+SHIFT+ESC
1.2 然后点选“处理程序”标签
1.3 删除avserve.exe程序
注意:如果没有出现avserve.exe程序,请至C:WINNT或是C:Windows目录下直接删除avserve.exe档案
2. 安装Microsoft所提供的MS04-011修正档
您可以直接由Windows Update网址更新或是下载MS04-011修正档手动安装:
3. 移除病毒
3.1 删除 C:WINNTsystem32?????_up.exe (?????为不特定数字,档案大小15872 bytes)
3.2 删除 C:WINNTavserve.exe 或是C:Windows avserve.exe
3.3 点选”开始->执行”。输入”REGEDIT”然后按 Enter
滑鼠双击下述路径: /HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
移除下列机码:
avserve.exe
4.电脑重新开机
5.建议您用防火墙阻挡有相关的port
Port 139 (tcp/udp)
Port 445 (tcp/udp)