王永乐

网络带给我们方便，网络病毒却给我们带来了恐惧。由于校园局域网内的很多人没有网络安全常识，造成网络病毒在校园网里泛滥。目前危害我们校园网的病毒主要有爱情后门、振荡波、冲击波、ARP等几个，但他们的变种却成千上万。现把爱情后门、震荡波病毒的发作现象及防治办法阐述如下，希望对大家有所帮助。

爱情后门（Worm.Lovgate.a/b/c/d/e）蠕虫病毒

该病毒群于2008年2月25日被瑞星公司率先截获，集蠕虫、后门、黑客三者于一身。它通过病毒邮件进行邮件传播，然后建立后门给用户的计算机设立一个泄密通道，通过放出后门程序与外界远程木马沟通，再通过放出盗窃密码程序主动盗窃计算机密码，最后通过远程疯狂传播局域网，最终导致所有计算机用户受到病毒控制，造成网络瘫痪、信息泄露等严重后果。

病毒的发现与手工清除：

1.病毒会释放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五个病毒体。解决办法：在系统盘上查找到这些文件并删除。

2. 针对9X系统，病毒会修改启动文件win.ini，加入run=rpcsrv.exe项。 解决办法：用记事本程序将该文件打开，将这一病毒项删除。

3. 病毒会利用ipc$命名管道进行guest和Administrator账号的简单密码试探，如果成功将自己复制到对方的sytem32目录中，命名为：stg.exe，并注册成Window Remote Service服务，同时放出一个名为win32vxd.dll的盗密码文件，以盗取用户密码。解决办法：在系统中查找这两个文件，找到直接删除。

4. 病毒不停地搜索网络资源，导致整个局域网资源被占用，如果发现有共享目录，则将自身复制过去。解决方法：局域网的用户最好不要使用共享目录传输文件。

5. 病毒会搜索系统中的*.ht*中的E-mail地址，找到后，病毒就利用MAPI功能，向外不断发送病毒邮件。解决办法：不要随便观看垃圾邮件，最好直接将垃圾邮件删除。

震荡波病毒(Worm.Sasser)

该病毒为I-Worm/Sasser.a的第三方改造版本。与该病毒以前的版本相同，也是通过微软的最新LSASS漏洞进行传播。具体技术特征如下：

1.感染系统为：Win2000、Win 2003、Win XP。

2.病毒运行后，将自身复制为%WinDir% apatch.exe，并在注册表中写入开机自启动程序。

3.病毒在TCP端口5554建立FTP服务，并通过网络计算机的445端口搜索存在MS04-011漏洞的目标，打开目标的后门端口9996，将目标感染。

4.病毒还会利用漏洞攻击LSASS.EXE进程，被攻击计算机的LSASS.EXE进程会瘫痪，Windows系统将会有1分钟倒计时关闭的提示。

如何防范“震荡波”

1.下载微软补丁程序。将升级杀毒软件到最新版本，然后打开个人防火墙，将安全等级设置为中、高级，封堵病毒对该端口的攻击。并下载专杀工具查杀。

2. 如果已经感染病毒，首先应该立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。

校园网防病毒安全建议

1.建议校园网用户使用正版反病毒软件，并且将病毒库升级到最新。

2.建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

3.关闭或删除系统中不需要的服务和端口。有条件的用户可以使用个人防火墙。

4.经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的。

5.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

6.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

7.了解更多的病毒知识。这样可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。