Sasser 病毒資訊

近日(93/5/1)出現了利用 Microsoft 公佈的 MS04-011 弱點傳播之蠕蟲---”Sasser”。感染到 Sasser 的電腦會對外建立大量連線，並試圖感染其他網友的電腦。這不但會造成感染的電腦無法上網，同時也會造成網路的擁塞。

如果您的電腦已經安裝了 Microsoft MS04-011 的修正程式，將可以免於 Sasser 的威脅。

檢查方法：

如果您的電腦路徑C:\Winnt 或是C:\Windows 出現 avserve.exe 檔案，那麼您的電腦可能已經感染 Sasser 蠕蟲。

解決方法：受到此病蟲感染的電腦，請依下 述步驟排除：

1.     自動移除病毒 程序

Microsoft 已提供一項針對 W32.Sasser 病蟲的清除工具。假如您已經遭受感染，請直接連上以下網址(http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en )下載此清除工具或參考知識庫文件841720 (http://support.microsoft.com/default.aspx?scid=kb;EN-US;841720)取得更詳細資訊 。

Symantec也提供W32.Sasser病蟲的清除工具，使用方法以及清除步驟請參照下述網址http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

2.    手動刪除病毒程序

 2.1 開啟 Windows 工作管理員. Windows NT/2000/XP系統, 請按 CTRL+SHIFT+ESC

 2.2 然後點選 "處理程序" 標籤

 2.3 刪除 avserve.exe , uu.exe, xxxxx_up.exe (xxxxx是數字，而且不止一個檔)程序

 2.4 刪除檔案

C:\Windows\avserve.exe
C:\Windows\System32\uu.exe
C:\Windows\System32\xxxxx_up.exe (xxxxx是數字，而且不止一個檔)

注意 : 如果沒有出現 avserve.exe 程序，請至C:\WINNT\或是C:\Windows\目錄下直接刪除 avserve.exe 檔案

3.     安裝 Microsoft 所提供的 MS04-011 修正檔

您可以直接由 Windows Update 網址更新或是下載 MS04-011 修正檔手動安裝

4.     電腦重新開機

5.     Windows Update

http://windowsupdate.microsoft.com/
[掃描更新檔項目]->[檢視並安裝更新檔]->[立即安裝]  ※請重複此步驟，直到出現「目前沒有可用的重大更新」為止

不管是否已中毒，再一次強調，Windows Update 必須成為您的例行工作。
　

6.     建議您用防火牆阻擋相關的 port

Port 139 (tcp/udp)

Port 445 (tcp/udp)

參考資訊：

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx (英文版)

http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp (中文版)