病毒信息：

病毒名称: Worm.Sasser.f

中文名称: 震荡波变种 E

病毒长度: 74,752 字节

威胁级别: 3A

病毒类型: 蠕虫

病毒别名: W32.Sasser.f.Worm[Symantec]

受影响系统: Windows 2000, Windows XP, Windows 2003

破坏方式：

· 利用WINDOWS平台的Lsass漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统；

· 堵塞网络。病毒的攻击行为可让系统不停的倒计时重启；

· 和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器

下载特定文件并运行，来达到感染的目的。

传染条件：该自运行的蠕虫通过使用 Windows 的一个漏洞来传播 [MS04-011 vulnerability

(CAN-2003-0907)] ，关于该漏洞的更多信息请访问：

http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx

系统修改：

A 、将自身复制到 %SystemRoot%\\\\\\\apatch.exe ( 通常为 C:\\\\\\\\WinNT\\\\\\\\ 或 C:\\\\\\\\Windows)

B 、在注册表主键：

HKEY_LOCAL_MACHINE\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run

下添加如下键值 :

"napatch.exe" = %SystemRoot%\\\\\\\apatch.exe

B 、拷贝其本身至系统目录：

%System%\\\\\\\\<5 位随机数字 >_up.exe

C 、在 C 盘根目录创建以下文件：

C:\\\\\\\\win2.log( 该文件用以记录本地主机的 IP 地址 )

D 、使用 AbortSystemShutdown API 来防止系统重启或关机。

E 、它开启 TCP 端口 5554 来建立一个 FTP 服务器，用来当作感染其他机器的服务器。

F 、通过 TCP445 端口扫描随机的 IP 地址，当连接成功时，被感染的计算机向被连接机器发动溢出攻击，被攻击的计算机将会自动连接被感染计算机的 5554 端口并通过 FTP 下载蠕虫的副本，名称一般为 4 到 5 个数字加上 "_up" 的组合，如 (78456_up.exe).

G 、由于该病毒本身编写的漏洞存在，它运行一段时间后会导致 LSASS.EXE 的崩溃，当 LSASS.EXE 崩溃时系统默认会重启。

H 、 和最近出现的大部分蠕虫病毒不同，该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。

文件名为： napatch.exe

I 、创建了互斥体 billgate 用于判断是否已运行。

解决方案:

· 请升级毒霸到5月11日的病毒库可完全处理该病毒；

· 手工解决方案

首先，若系统为WinMe或WinXP，则请先关闭系统还原功能；

（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能） 对于系统是 Win9x/WinMe

步骤一，删除病毒主程序

请使用干净的系统软盘引导系统到纯 DOS 模式，然后转到系统目录（默认的系统目录为

C:\\\\\\\\windows ），分别输入以下命令，以便删除病毒程序：

C:\\\\\\\\windows\\\\\\\\system32\\\\\\\\>del *_up.exe

C:\\\\\\\\windows\\\\\\\\system32\\\\\\\\>cd..

C:\\\\\\\\windows\\\\\\\\>del napatch.exe

完毕后，取出系统软盘，重新引导到 Windows 系统。

如果手中没有系统软件盘，可以在引导系统时按“ F5 ”键也可进入纯 DOS 模式；

步骤二，清除病毒在注册表里添加的项

打开注册表编辑器 : 点击开始 > 运行 , 输入 REGEDIT, 按 Enter ；

在左边的面板中 , 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USER\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run

在右边的面板中 , 找到并删除如下项目：

"napatch" = %SystemRoot%\\\\\\\apatch.exe

关闭注册表编辑器 .

步骤一，使用进程序管里器结束病毒进程

右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务

管理器中，单击“进程”标签，在例表栏内找到病毒进程 “avserve2.exe”，单击“结束进程

按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除病毒程序

通过“我的电脑”或“资源管理器”进入系统目录（Winnt或windows)，找到文件

"napatch.exe" ，将它删除 ; 然后进入系统目录 (Winnt\\\\\\\\system32 或 windows\\\\\\\\system32) ，

找到文件 " _up.exe ", 将它们删除；

步骤三，清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_CURRENT_USER\\\\\\\\SOFTWARE\\\\\\\\Microsoft\\\\\\\\Windows\\\\\\\\CurrentVersion\\\\\\\\Run

在右边的面板中 , 找到并删除如下项目：

"napatch" = %SystemRoot%\\\\\\\apatch.exe

关闭注册表编辑器.