Windows XP安全：如何刪除震蕩波蠕蟲

現在已經證實，對於許多用戶來說震蕩波（Sasser）確實是一個問題，並且現在它已經是第六代或者第七代變異了。很幸運的是，他們都可以使用相同的方法來刪除。本文將教你如何通過手工刪除、如何通過工具刪除並且如何防止它重新感染。 
　　
　　Sasser是一種拒絕服務攻擊，除了XP的64位版本外，它威脅到Windows 2000以及Windows XP的所有版本。這些Windows系統都有一個眾所周知的漏洞LSASS，一個在本地安全授權系統服務中的緩沖區溢出。然而只有Windows 2000和XP操作系統容易受到震蕩波的攻擊，老版本的Windows系統可以運行震蕩波，但是系統不會感染，除非你專門將蠕蟲代碼加載到PC上。
　　
　　目前的形勢
　　雖然德國警方很抓住了制造和傳播震蕩波蠕蟲的人，但是這種傳染本身仍然繼續在造成巨大的破壞，因為它甚至感染無人注意的系統，而且它將繼續反復感染系統，直到系統將潛在的漏洞打上補丁。然而，這是一種很大的挑戰，因為被感染的系統將不停地重新啟動，使得被感染的機器不可能下載補丁或浏覽網頁來尋找相應的解決方案。 
　　
　　除了在適當的位置有一個正確配置的防火牆（阻塞TCP端口445，5554，以及9996）外，使用在微軟安全公告MS04-011中提供的補丁是保護系統免於再次感染的唯一方法。
　　
　　有這麼多的系統仍然存在漏洞的原因在於：許多用戶在安裝補丁時沒有好的經驗。微軟的知識庫文章835732包含了關於這個補丁的已知問題，包括由於系統處理行為而造成的一些Windows 2000系統的完全關閉，以及在系統打補丁之後使得一些用戶無法登錄到Windows系統。在已經打補丁的W2K系統上的Oracle也有問題。對於已經打補丁的XP系統來說，唯一重大的問題是無法查看那些使用Adobe Illustrator創建的一些圖形文件。
　　
　　准備工作
　　刪除震蕩波的工作是一個需要多步操作才能實現的過程，第一個問題是如何停止不斷自動重新啟動的計算機，使其能夠有足夠長的時間來下載補丁和/或者下載刪除工具。
　　
　　以下是賽門鐵克公司列出的如何刪除震蕩波從A到F的所有版本的過程。記住，完成下面的步驟只需要大約20秒左右的時間。
　　
　　1、與因特網斷開。
　　2、重新啟動。
　　3、在啟動，盡可能快的點擊“開始”上的“運行”，輸入“CMD”打開命令行界面。
　　4、在DOS提示符後輸入shutdown – i後回車。
　　
　　這樣為網絡上其他系統的遠程管理打開了控制面板，但是現在需要輸入你的計算機的名字。
　　
　　5、單擊“添加”，輸入名字，然後點擊“確定”。
　　6、現在把警告信息的延遲設置從標准的20（秒）改為一個很大的數如9999。在打補丁後如果你願意可以重新設置警告信息的延遲時間。
　　
　　這將臨時使關機序列失效，從而讓你有足夠的時間登錄因特網並下載補丁。
　　
　　對於許多用戶來說，讓他們感到奇怪的是他們的機器並沒有連接到網絡上為什麼他們的系統還有名字，系統的名字要麼是由擁有管理員權限的用戶分配的，要麼是自動產生的。要找到你的計算機的名字，打開“控制面板”並點擊“系統”圖標。由於你必須在20秒或者更少的時間內完成上面公告牌上的步驟，所以你必須在開始這些過程之前確定你的系統的名字。
　　
　　對於在XP系統上停止周期性重新啟動的方法，微軟的使用說明告訴你只需在命令提示符處輸入shutdown.exe –a即可。如果這條指令生效的話，系統將更加快速第終止關機過程。
　　
　　如果你能夠下載並安裝補丁的話，上述步驟不是必要的。他們不是下面描述的刪除震蕩波過程的技術的一部分。
　　
　　刪除
　　你可以從賽門鐵克、F-Secure以及其他的防病毒提供商的網站上下載一個刪除工具。微軟也有詳細的操作指南並且在該網頁上還有一個自動測試工具，這個工具可以證明你是否感染了震蕩波病毒並且可以刪除這個病毒。如果你得到了這些自動刪除工具中的一個的話，它將停止重新引導過程，刪除蠕蟲文件，清除注冊表並且將利用這個工具刪除震蕩波病毒。退一步說，如果使用手動過程那將是相當麻煩的。
　　
　　因為有些系統與震蕩波進程聯系的是如此的緊密，以至於你的計算機已經無法使用，所以即使你使用的是一個刪除工具，以下一些手動刪除步驟（終結惡意的進程）也許仍然是必要的。
　　
　　你可以通過打開任務管理器並且查找avserve2.exe，avserve.exe，skynetave 以及任何使用短字符數字串開頭後跟_up.exe （例如，XXXXX_up.exe）的進程，然後選中這些進程的名字並點擊“結束進程”來終止他們，以改善系統的性能。
　　
　　由於XP具有自動系統存儲特征，所以在刪除任何蠕蟲或者病毒之前也應該關閉這種特征，因為這是一個備份工具，如果讓其繼續運行的話，它將保留一個感染的備份。賽門鐵克對這些要求的步驟有一個完整的描述，但是基本的步驟是到“控制面板”中的“系統”對話框中檢查是否關閉了“關閉系統存儲”功能。
　　
　　手動刪除要求你刪除所有被防病毒程序認為與震蕩波有關的文件。
　　
　　注冊表已經被震蕩波改變，這意味著你將需要從HKEY_LOCAL_MacHINE\Software\Microsoft\Windows\CurrentVersion\Run上刪除
　　
　　avserve2.exe"="%Windir%\avserve2.exe 
　　
　　變種在繼續
　　Newsfactor.com公司已經報告了一種新的感染，Dabber（package.exe）通過震蕩波來攻擊計算機，刪除震蕩波蠕蟲並且將計算機變成一個服務器並在計算機上設置了秘密的後門。在賽門鐵克、趨勢科技、熊貓衛士以及其他的反病毒提供商網站上已經發現了刪除Dabber的操作指南。
　　
　　變種E
　　賽門鐵克報告震蕩波的變種E在以下方面表現與W32.Sasser不同： 
　　
　　進程的名字是SkynetNotice，文件的名字是lsasss.exe，而這個名字在注冊表行中又用avserve來代替。你還需要阻塞防火牆的1022和1023端口。而且不是查找XXXXX_up.exe文件，而是查找XXXXX_update.exe文件。
　　
　　變種F
　　震蕩波的變種F與以前的版本也有微小的不同。進程的名字是billgate，而震蕩波文件的名字是napatch.exe，在注冊表中也是使用這個名字。