[轉貼]Sasser病毒....

zero0 · 文章由 **zero0** » 2004-05-02 23:10

自5月1號起
你的電腦是否出現60秒倒數重開機的現象呢?
不要認為那是疾風病毒
是新出爐的Sasser病毒作祟
一樣是windows的漏洞
詳細情形請點下方連結
→http://www.microsoft.com/taiwan/securit ... 04-011.asp

如果你重灌作業系統建議一安裝好馬上修補
檔案抓回來後請馬上關閉網路~拔掉網路線
安裝完後重開機
如果仍有中毒症狀
請參照此頁
http://forum.gamebase.com.tw/forum/cont ... r=dat&rc=5
來解決問題

Sasser病毒的相關資訊：
→http://www.microsoft.com/taiwan/securit ... sasser.asp
→http://securityresponse.symantec.com/av ... .worm.html

hinet資訊
=======================
“Sasser”病毒開始肆虐，請儘速檢查防範

摘要：

今日(5/1)出現了利用Microsoft公佈的MS04-011弱點傳播之蠕蟲---”Sasser”。感染到Sasser的電腦會對外建立大量連線，並試圖感染其他網友的電腦。這不但會造成感染的電腦無法上網，同時也會造成網路的擁塞。
如果您的電腦已經安裝了Microsoft MS04-011的修正程式，將可以免於Sasser的威脅。

檢查方法：

如果您的電腦路徑C:\Winnt 或是C:\Windows 有出現avserve.exe檔案，那麼您的電腦可能已經感染Sasser蠕蟲。

解決方法：

受到此病蟲感染的電腦，請依下步驟排除：

1. 刪除病毒程序
1.1 開啟Windows 工作管理員.
Windows NT/2000/XP系統, 請按CTRL+SHIFT+ESC
1.2 然後點選”處理程序”標籤
1.3 刪除avserve.exe程序

注意:如果沒有出現avserve.exe程序，請至C:\WINNT\或是C:\Windows\目錄下直接刪除avserve.exe檔案

2. 安裝Microsoft所提供的MS04-011修正檔
您可以直接由Windows Update網址更新或是下載MS04-011修正檔手動安裝：

3. 移除病毒

3.1 刪除 C:\WINNT\system32\?????_up.exe　(?????為不特定數字，檔案大小15872 bytes)

3.2 刪除 C:\WINNT\avserve.exe 或是C:\Windows\ avserve.exe

3.3 點選”開始->執行”。輸入”REGEDIT”然後按 Enter

滑鼠雙擊下述路徑: /HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/

移除下列機碼：
avserve.exe

4. 電腦重新開機

5. 建議您用防火牆阻擋有相關的port
Port 139 (tcp/udp)
Port 445 (tcp/udp)

參考資訊：
http://www.microsoft.com/technet/securi ... 4-011.mspx (英文版)
http://www.microsoft.com/taiwan/securit ... 04-011.asp (中文版)

Stephen · 文章由 **Stephen** » 2004-05-03 01:05

前陣子我中的是
W32.Gaobot.AFC
W32.Gaobot.AFJ
W32.Gaobot.AFW
它弄到我不能update病毒碼
原來是hosts的檔案被改了
然後去了這個網跟著做, 解決了
http://www.hkcert.org/valert/chi_vinfo/lsass_worm.html

病毒真是防不勝防呀!
兩種毒好像是根據同一漏洞的~~~

Stephen · 文章由 **Stephen** » 2004-05-03 01:09

sasser這個字, 好像是德文來的
解 sh*t.......有趣喔!

勝川 · 文章由勝川 » 2004-05-03 13:28

W32.Gaobot.AFJ
和Sasser
這兩支病毒前天一起來拜訪我

norton也被關了，害我弄了好久.....

adomu · 文章由 **adomu** » 2004-05-04 02:40

請問中了會怎樣
好想中中看

人人都中，流行阿∼
我落伍了>_<

零 · 文章由零 » 2004-05-04 16:09

5/1凌晨第一時間就中了Sasser...

我覺得這病毒最厲害的不是他會癱瘓NORTON...
而是他會讓你無法上網...這樣一來...連自己中什麼毒都不曉得...

Poltergeist · 文章由 **Poltergeist** » 2004-05-04 18:31

我一向都常常在進行Windows Update
加上防毒軟體跟防火牆
所以從來沒中過毒耶...

zero0 · 文章由 **zero0** » 2004-05-04 19:59

Poltergeist 寫:我一向都常常在進行Windows Update
加上防毒軟體跟防火牆
所以從來沒中過毒耶...

我也是喔

touareg · 文章由 **touareg** » 2004-05-06 06:46

norton前幾天被癱瘓了~~
沒有其他異常~~
但是不知道怎麼解除...一氣之下把它移除!!
後來去裝了一個江民殺毒王...想說用一下北京貨...

JY · 文章由 JY » 2004-05-06 11:30

(趴在地上裝死

重Agobot3的機器我整理了n台...
給幾個處理時的建議:
1. 先去把\windows\system32\drivers\hosts給清乾淨
2. 接到網路上去跑個像是趨勢線上掃毒之類的東西..(英文網站是免費的
3. 掃完能清的盡量清... 清不掉的那隻TSR先去把檔案找出來... 開工作管理員出來把病毒程序給宰掉之後馬上切換到檔案那邊去把它斬掉...
通常嘗試幾次之後就可以把那隻常駐的病毒給清掉...
進regedit或是msconfig把開機不該出現的東西都砍乾淨就差不多了....

龜毛點可以再給它掃個一次...

最好是能進safe mode with networking再來掃...
不過似乎有一定比例的機器在安全模式下連不上網路...