中文名称: 震荡波变种E

病毒别名:

· 堵塞网路。病毒的攻击行为可让系统不停的倒计时重启。

· 和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定档案并运行，来达到感染的目的。

特别说明：

此病毒利用微软漏洞进行攻击，会清除其它木马的键值，从病毒信息来看， SkyNet Team已经有此病毒代码。

该自运行的蠕虫通过使用Windows的一个漏洞来传播[MS04-011 vulnerability (CAN-2003-0907)]，关于该漏洞的更多信息请访问：

技术特点：

. 将自身複製到%SystemRoot%\\\\lsasss.exe (通常为C:\\\\WinNT\\\\或C:\\\\Windows)

. 在注册表主键：

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

下添加如下键值:

"lsasss.exe" = %SystemRoot%\\\\lsasss.exe

. 在注册表主键：

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

下删除以下键值：

ssgrate.exe

drvsys.exe

Drvddll_exe

此三个键值分别为Troj.Mitglieder、Worm.Beagle.W、Worm.Beagle.X三个病毒创建。

. 拷贝其本身至系统目录：%System%\\\\<4或5位随机数字>_upload.exe (通常为WinNT\\\\System32或Windows\\\\System32)

. 在C糟根目录下建立档案ftplog.txt，记录最近试图攻击的IP及攻击成功的主机的数目

. 它开启TCP连线埠1023来建立一个FTP伺服器，用来当作感染其他机器的伺服器。

. 开启128执行绪扫描随机IP，在确定目标可达后会试图连线目标的的TCP 445连线埠.

. 如果连线成功，则被感染计算机向被连线机器发动溢出攻击，溢出成功则会在被连线机器上打开一个shell，并打开1022连线埠。然后，被攻击的计算机将会自动连线被感染计算机的1023连线埠并通过FTP下载蠕虫的副本，名称一般为4到5个数字加上"_upload"的组合，如(78456_upload.exe).

. 病毒启动后会每隔一秒调用系统API——AbortSystemShutdown 来限制系统重启或关机，在两个小时后显示<如图>的信息：

发作现象：

病毒攻击时会引启系统的倒计时重启或出错

· 请升级毒霸到5月9日的病毒库可完全处理该病毒；

·请到以下网址即时升级您的作业系统，免受攻击

·请用个人防火墙禁止连线埠：445、5554和9996，防止名为avserve.exe的程式访问网路。

· 手工解决方案

首先，若系统为WinXP，则请先关闭系统还原功能；

步骤一，使用进程式管里器结束病毒进程

右键单击系统列，弹出选单，选择“任务管理器”，调出“Windows任务管理器”视窗。在任务

管理器中，单击“进程”标籤，在例表栏内找到病毒进程“lsasss.exe”或任何前面是4到5个数字后面紧接着_upload.exe(如 74354_up.exe)的进程，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除病毒程式

通过“我的电脑”或“资源管理器”进入系统目录（Winnt或windows)，找到档案

"lsasss.exe"，将它删除;然后进入系统目录(Winnt\\\\system32或windows\\\\system32)，找到文

件"*_upload.exe", 将它们删除；

步骤三，清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始->运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

在右边的面板中, 找到并删除如下项目：

"lsasss.exe" = %SystemRoot%\\\\lsasss.exe

关闭注册表编辑器..