Microsoft-您必須知道 Sasser Worm 及其變種的消息 [Site Map]

贊助商連結

頁 : [1] 2

Nomad

2004-05-02, 01:44 AM

“Sasser”病毒開始肆虐，請儘速檢查防範

摘要：

今日(5/1)出現了利用Microsoft公佈的MS04-011弱點傳播之蠕蟲---”Sasser”。感染到Sasser的電腦會對外建立大量連線，並試圖感染其他網友的電腦。這不但會造成感染的電腦無法上網，同時也會造成網路的擁塞。
如果您的電腦已經安裝了Microsoft MS04-011的修正程式，將可以免於Sasser的威脅。

檢查方法：

如果您的電腦路徑C:\Winnt 或是C:\Windows 有出現avserve.exe檔案，那麼您的電腦可能已經感染Sasser蠕蟲。

解決方法：

受到此病蟲感染的電腦，請依下步驟排除：

1. 刪除病毒程序
1.1 開啟Windows 工作管理員.
Windows NT/2000/XP系統, 請按CTRL+SHIFT+ESC
1.2 然後點選”處理程序”標籤
1.3 刪除avserve.exe程序

注意:如果沒有出現avserve.exe程序，請至C:\WINNT\或是C:\Windows\目錄下直接刪除avserve.exe檔案

2. 安裝Microsoft所提供的MS04-011修正檔
您可以直接由Windows Update網址更新或是下載MS04-011修正檔手動安裝：

3. 移除病毒

3.1 刪除 C:\WINNT\system32\?????_up.exe　(?????為不特定數字，檔案大小15872 bytes)

3.2 刪除 C:\WINNT\avserve.exe 或是C:\Windows\ avserve.exe

3.3 點選”開始->執行”。輸入”REGEDIT”然後按 Enter

滑鼠雙擊下述路徑: /HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/

移除下列機碼：
avserve.exe

4. 電腦重新開機

5. 建議您用防火牆阻擋有相關的port
Port 139 (tcp/udp)
Port 445 (tcp/udp)

參考資訊：
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx (英文版)
http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp (中文版)

贊助商連結

ericlien

2004-05-02, 02:40 PM

Worm_Sasser清除程式：
http://www.trendmicro.com/ftp/products/tsc/tsc.zip
下載解壓後執行tsc.exe

琥珀

2004-05-02, 03:54 PM

http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&DisplayLang=en

tamadrum

2004-05-03, 01:54 PM

這支病毒傳播能力蠻強的，整間實驗室除了我其他全掛，看來災情慘重，等一下去問其他實驗室............

iget

2004-05-03, 03:18 PM

好像這病毒的影響力更大
一台還來不及更新的Server，也給它中標了

阿土

2004-05-03, 06:16 PM

郵局的儲匯窗口執行 Windows 2000 + Pccillin
今天掛了 400 多個局 , 就是這隻幹的

使用 Windows 但還沒更新的朋友 , 請趕快更新

ehawk

2004-05-03, 06:46 PM

新灌O/S注意, 未裝好防毒防火牆前不宜插上網路線, 插上網路線後的第一步
是LiveUpdate防毒防火牆軟體程式. 第二步是Windows update, 原因是只要
一連線, 有一堆網路上已中毒的電腦就向你招手. 不中也難!

像這種的攔截, 防火牆日誌檔內全是:
2004/5/3 下午 06:36:55,Supervisor,"規則 ""預設攔截 Microsoft Windows
2000 SMB"" 已隱藏 (61.64.115.xx,microsoft-ds(445))。","規則 ""預設攔
截 Microsoft Windows 2000 SMB"" 已隱藏 (61.64.115.xx,microsoft-ds
(445))。入埠的 TCP 連線本機位址，服務為 (xxx-xxxx-1(61.219.xxx.xxx),
microsoft-ds(445)) 遠端位址，服務為 (61.64.115.xx,4580) 程序名稱為
""System"""

Fabian C

2004-05-03, 07:05 PM

上次做好的整合Update Rollup 1 至 Windows XP SP1 光碟,本來可以解決疾風,這下子又沒用了!
http://www.pczone.com.tw/showthread.php?t=112223

有沒有整合補Sasser漏洞的方法?

ericlien

2004-05-04, 10:36 PM

Symantec-W32.Sasser Removal Tool

Symantec Security Response has developed a removal tool to clean the infections of the following variants of the W32.Sasser worm:

W32.Sasser.Worm
W32.Sasser.B.Worm
W32.Sasser.C.Worm
W32.Sasser.D.Worm
Download link:
http://securityresponse.symantec.com/avcenter/FxSasser.exe

ericlien

2004-05-06, 01:06 AM

http://www.microsoft.com/taiwan/security/incident/sasser.asp