教你快速識別震蕩波

5月1日驚現互聯網的“震蕩波 (Worm.Sasser)”病毒來勢洶洶，該病毒是通過微軟的最新高危漏洞-LSASS 漏洞(微軟MS04-011 公告)進行傳播的，危害性極大，目前 WINDOWS 2000/XP/Server 2003 等操作系統的用戶都存在該漏洞，這些操作系統的用戶只要一上網，就有可能受到該病毒的攻擊。下面就教用戶如何快速識別“震蕩波(Worm.Sasser)”病毒。

　　如果用戶的電腦中出現下列現象之一，則表明已經中毒，就應該立刻采取措施清除該病毒。

　　一、出現系統錯誤對話框

　　被攻擊的用戶，如果病毒攻擊失敗，則用戶的電腦會出現 LSA Shell 服務異常框，接著出現一分鐘後重啟計算機的“系統關機”框。

　　二、系統日志中出現相應記錄

　　如果用戶無法確定自己的電腦是否出現過上述的異常框或系統重啟提示，還可以通過查看系統日志的辦法確定是否中毒。方法是，運行事件查看器程序，查看其中系統日志，如果出現如下圖所示的日志記錄，則證明已經中毒。

　　三、系統資源被大量占用

　　病毒如果攻擊成功，則會占用大量系統資源，使CPU占用率達到100%，出現電腦運行異常緩慢的現象。

　　四、內存中出現名為avserve的進程

　　病毒如果攻擊成功，會在內存中產生名為 avserve.exe 的進程，用戶可以用Ctrl+Shift+Esc 的方式調用“任務管理器”，然後查看是內存裡是否存在上述病毒進程。

　　五、系統目錄中出現名為avserve.exe的病毒文件

　　病毒如果攻擊成功，會在系統安裝目錄（默認為C:\WINNT）下產生一個名為avserve.exe的病毒文件。

　　六、注冊表中出現病毒鍵值

　　病毒如果攻擊成功，會在注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中建立病毒鍵值："avserve.exe"="%WINDOWS%\avserve.exe"。