2004.5. 1起互联网上出现了一个新的高威胁病毒——Worm.Sasser。该病毒会对被感染的机器(WinNT、Win2000、WinXP、Win2003操作系统)造成巨大的危害。

病毒的危害和传播：
Worm.Sasser病毒利用Windows平台的Lsass漏洞，进行传播。可能会导致被感染的机器无法正常使用，直至系统崩溃。（LSASS 中存在一个缓冲区溢出漏洞，此漏洞允许在受影响的系统上远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。）

染毒的特征：
如果你的机器感染了病毒，那么很有可能系统无法正常使用，可能的现象如下：

1、出现系统错误对话框

被该病毒攻击的电脑用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框。如下图:

2、系统资源被大量占用

病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。比如上网后（拨号连接或者宽带连接），速度突然变慢或断线，点击网页链接无响应；桌面或系统图标双击无法打开，点击时提示系统配额不足；开始菜单中的项目会有丢失的情况，并且点击开始菜单项的程序无响应等。

3、内存中出现名为 avserve 的进程

病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。

4、系统目录中出现名为 avserve.exe 的病毒文件

病毒如果攻击成功，会在系统安装目录（默认为 C:\WINNT ）下产生一个名为avserve.exe 的病毒文件。

5、注册表中出现病毒键值

病毒如果攻击成功，会在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项中建立病毒键值： "avserve.exe "="%WINDOWS%\avserve.exe " 。

注意：
目前发现Windows Lsass漏洞存在于WinNT、Win2000、Win2003的各个版本、WinXP之中。

相关链接:清除震荡波病毒