紫翼夢痕

W32.SASSER變種病毒相關資訊及處理方法:

Microsoft於5/1晚間發佈緊急重大安全公告，一隻名為 W32.SASSER 的病蟲(W32.Sasser.A及其變種)，此病毒將利用微軟視窗系統弱點LSASS(Local Security Authority Subsystem Service)發動攻擊，感染的電腦將會出現關機的倒數關機畫面，所有作業系統皆有可能受到感染。

如何判斷已中毒：
如果您的電腦路徑C:\Winnt 或是C:\Windows 有出現avserve.exe檔案，那麼您的電腦可能已經感染Sasser病毒。

已遭受病獨的解決方案!請依下列處理步驟：

1.  開啟Windows 工作管理員，請按CTRL+SHIFT+ESC，然後點選"處理程序"標籤，結束avserve.exe處理程序。開啟Windows 工作管理員，請按CTRL+SHIFT+ESC，然後點選"處理程序"標籤，結束avserve.exe處理程序。注意:如果沒有出現avserve.exe程序，請至C:\WINNT\或是C:\Windows\目錄下直接刪除avserve.exe檔案

2.      安裝Microsoft所提供的MS04-011修正檔.
您可以直接由Windows Update網址更新或是下載MS04-011修正檔手動安裝
http://v4.windowsupdate.microsoft.com/zhtw/default.asp
http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp

3.      手動移除病毒 (請手動刪除下列2個檔案)
　C:\WINNT\system32\xxxx_up.exe(xxxx為不特定數字，檔案大小15872 bytes)
　C:\WINNT\avserve.exe 或是C:\Windows\ avserve.exe
檔案刪除後請點選"開始->執行"，輸入"REGEDIT"然後按 Enter.
進入下述路徑並移除avserve.exe
/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/

4.      電腦重新開機。

Windows NT/2000/XP

a.按一次 Ctrl+Alt+Delete

b.按下「工作管理員」

c.按下「處理程序」標籤

d.連按兩下「影像名稱」欄位標頭以便以英文字母順序進行排序

e.瀏覽一下清單並尋找DLLHOSE.EXE (~10,240 bytes)

f.如果您找到該檔案，按下它並按下「結束處理程序」

g.結束「工作管理員」

h.用防毒軟體掃瞄並清除，或是以手動方式至winnt\system32\wins 下 刪除 SVCHOST.EXE及DLLHOST.EXE檔案

i.按下「開始」，然後按下「執行」(畫面上便會出現「執行」對話方塊)
鍵入 regedit 然後按下「確定」(「登錄編輯器」會開啟)
移至：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

j.刪除 RpcPatch 與 RpcTftpd

k.結束並離開「登錄編輯器」

5.      完成上述手續後，建議您使用防火牆來預防電腦再度受到感染。
若您使用Windows XP，請啟用內含防火牆，設定方式請參閱「Microsoft 保護您的電腦」網站。

建議:

1.  有鑒於微軟漏洞病毒肆虐，均是因為作業系統漏洞造成，為有效防止此類漏洞與入侵，建議可採購IP分享器，有個人電腦防火牆的防毒軟體，以防止類似因漏洞病毒發生。

2. 定期更新微軟的修護程式，以修補作業系統漏洞。

您可參考其它相關病毒資料：

1. http://www.microsoft.com/taiwan/security/incident/sasser.asp

2. http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_SASSER.C

引用: http://www.so-net.net.tw/service/announcement/virus/