W32.SASSER變種病毒相關資訊及處理方法:
Microsoft於5/1晚間發佈緊急重大安全公告,一隻名為 W32.SASSER 的病蟲(W32.Sasser.A及其變種),此病毒將利用微軟視窗系統弱點LSASS(Local Security Authority Subsystem Service)發動攻擊,感染的電腦將會出現關機的倒數關機畫面,所有作業系統皆有可能受到感染。
如何判斷已中毒:
如果您的電腦路徑C:\Winnt 或是C:\Windows 有出現avserve.exe檔案,那麼您的電腦可能已經感染Sasser病毒。
已遭受病獨的解決方案!請依下列處理步驟:
1. 開啟Windows 工作管理員,請按CTRL+SHIFT+ESC,然後點選"處理程序"標籤,結束avserve.exe處理程序。開啟Windows 工作管理員,請按CTRL+SHIFT+ESC,然後點選"處理程序"標籤,結束avserve.exe處理程序。注意:如果沒有出現avserve.exe程序,請至C:\WINNT\或是C:\Windows\目錄下直接刪除avserve.exe檔案
2. 安裝Microsoft所提供的MS04-011修正檔.
您可以直接由Windows Update網址更新或是下載MS04-011修正檔手動安裝
http://v4.windowsupdate.microsoft.com/zhtw/default.asp
http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp
3. 手動移除病毒 (請手動刪除下列2個檔案)
C:\WINNT\system32\xxxx_up.exe(xxxx為不特定數字,檔案大小15872 bytes)
C:\WINNT\avserve.exe 或是C:\Windows\ avserve.exe
檔案刪除後請點選"開始->執行",輸入"REGEDIT"然後按 Enter.
進入下述路徑並移除avserve.exe
/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
4. 電腦重新開機。
Windows NT/2000/XP
a.按一次 Ctrl+Alt+Delete
b.按下「工作管理員」
c.按下「處理程序」標籤
d.連按兩下「影像名稱」欄位標頭以便以英文字母順序進行排序
e.瀏覽一下清單並尋找DLLHOSE.EXE (~10,240 bytes)
f.如果您找到該檔案,按下它並按下「結束處理程序」
g.結束「工作管理員」
h.用防毒軟體掃瞄並清除,或是以手動方式至winnt\system32\wins 下 刪除 SVCHOST.EXE及DLLHOST.EXE檔案
i.按下「開始」,然後按下「執行」(畫面上便會出現「執行」對話方塊)
鍵入 regedit 然後按下「確定」(「登錄編輯器」會開啟)
移至:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
j.刪除 RpcPatch 與 RpcTftpd
k.結束並離開「登錄編輯器」
5. 完成上述手續後,建議您使用防火牆來預防電腦再度受到感染。
若您使用Windows XP,請啟用內含防火牆,設定方式請參閱「Microsoft 保護您的電腦」網站。
建議:
1. 有鑒於微軟漏洞病毒肆虐,均是因為作業系統漏洞造成,為有效防止此類漏洞與入侵,建議可採購IP分享器,有個人電腦防火牆的防毒軟體,以防止類似因漏洞病毒發生。
2. 定期更新微軟的修護程式,以修補作業系統漏洞。
您可參考其它相關病毒資料:
1. http://www.microsoft.com/taiwan/security/incident/sasser.asp
2. http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_SASSER.C
留言列表