影响系统：Windows 2000, Windows Server 2003, Windows XP

蠕虫别名：W32/Sasser.worm [McAfee] 震荡波[瑞星]

蠕虫信息：

    W32.Sasser蠕虫是一个利用微软操作系统的Lsass缓冲区溢出漏洞进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描，因此对个人用户使用和网络运行都会造成很大的冲击。

详细信息：

病毒特征 

（1）进程中出现 avserve.exe 和 *****_up.exe，占用大量资源； 

其中*****为从0～65535之间的随机数字 

（2）出现LSA Shell错误； 

（3）导致系统进程lsass.exe错误，并进而导致计算机强迫重启； 

检测控制方法

个人用户控制方法：

* 安装相应的补丁程序

* 如果无法及时安装补丁程序，请使用防火墙阻断以下端口的数据连接

  135/tcp

  139/tcp

  445/tcp

  1025/tcp

  5554/tcp

  9996/tcp

查杀办法：

检查是否被感染的方法：

如果系统中存在以下特征就表明您已被W32.Sasser蠕虫感染了

    * 系统进程中存在名为avserve.exe的进程

    * 系统目录中存在avserve.exe文件

    * 注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中存在"avserve.exe"="%Windir%\avserve.exe值

注意蠕虫在传播过程中如果失败，会导致系统产生异常错误重起，如果您的系统

发现这种情况，请尽快安装相应的补丁程序。

手动清除方法：

1.下载相应的补丁程序到本地硬盘上：

window2000 +（sp1或sp2或sp3或sp4）补丁程中文版 繁体中文版 英文版

winxp 中文版+sp1补丁程序中文版 繁体中文版 英文版

win2003 补丁程序中文版 繁体中文版 英文版

      2.结束系统进程中的下列进程  

        * avserve.exe或者avserve2.exe

        * 由4-5个随机的阿拉伯数字和_up.exe组成的名字进程（如23423_up.exe）

      3.升级系统的杀毒软件到最新的病毒库

      4.使用杀毒软件进行全盘扫描，发现病毒后选择删除

      5.编辑注册表程序删除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中

        的"avserve.exe"="%Windir%\avserve.exe值

      6.安装补丁程序后重新启动机器

使用专杀工具清除方法：

1、  载专杀工具 FxSasser.exe（153744字节）

毒霸专杀工具: Duba_Sasser.EXE (37376 字节) 

  瑞星专杀工具: RavSasser.exe (82444 字节) 

        2、关闭其他应用程序运行专杀工具

内大网络中心