lsass.exe病毒木马专杀清除工具

病毒紧急公告：处理“震荡波”病毒
（I-Worm/Sasser ）的紧急通知

    5月1日，高危病毒“震荡波”病毒（I-Worm/Sasser ）爆发，该病毒将使互联网和用户电脑系统再次面临重大危险，其破坏程度有可能超过“冲击波”。

    “震荡波”病毒的发作特点，类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒。该病毒发作的现象是导致本地安全认证程序lsass.exe出错，造成电脑反复重启。

    据网络安全监测机构消息，目前有90％以上的Windows2000/XP/2003用户没有给一个系统漏洞打上补丁程序，而“震荡波”病毒正是通过这个被微软定义为最高级别的漏洞进行传播的，因此预测将有众多电脑被该病毒攻击，极有可能造成大规模泛滥。根据分析，“震荡波”病毒会在网络上自动搜索未安装微软最新补丁的电脑，直接引导这些电脑下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序和防火墙并接入互联网，就有可能被感染。

    目前已有网络安全公司提供了该病毒的专杀工具，用户可以登陆：[url]http://it.rising.com.cn/service/technology/tool.htm[/url]网址免费下载。 
　 防范“震荡波”具体办法：

1、安全模式启动
重新启动系统同时按下按F8键，进入系统安全模式 
2、注册表的恢复
点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的"avserve"="c:\winnt\avserve.exe"
　3、删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹"，查找文件"avserve.exe"和"*_up.exe"，并将找到的文件删除。 
  4、安装系统补丁程序 
到以下微软网站下载安装补丁程序： 
[url]http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx[/url] 或者在ＩＥ浏览器的工具－>Windows Update升级系统。 
5、重新配置防火墙
如有防火墙，重新配置边界防火墙或个人防火墙关闭TCP端口5554。
　 附件：简要技术分析

　　该病毒会通过FTP的5554端口攻击电脑，使系统文件崩溃，造成电脑反复重启。病毒如果攻击成功，会在C:\WINDOWS目录下产生名为avserve.exe的病毒体，用户可以通过查找该病毒文件来判断是否中毒。

　　“震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立："avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。

　　该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃，出现系统反复重启的现象，并且使跟安全认证有关的程序出现严重运行错误。