PALMisLIFE 討論區

標題: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響 [列印本頁]

---

作者: ast300    時間: 2004-5-2 00:43
標題: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
我是isp的小客服
今天電話接到爆
如果有親友中毒
可以參照下列方式處理
自從Microsoft公佈4月份弱點以來，各大網路安全公司紛紛預測將會有類似Blaster這種會塞爆網路流量的蠕蟲出現。果然，今日(5/1)出現了利用此弱點傳播之蠕蟲---”Sasser”。感染到Sasser蠕蟲的網友會對外建立大量連線，並試圖感染其他網友的電腦。這不但會造成感染電腦無法上網，同時也會造成網路的擁塞。由於大部份的Widnows作業系統都會受感染，請用戶盡速安裝微軟的修正程式。

檢查方法：

如果您的電腦路徑C:\Winnt 或是C:\Windows 有出現avserve.exe檔案，那麼您的電腦可能已經感染Sasser蠕蟲。

解決方法：

受到此病蟲感染的電腦，請依下步驟排除。

1.      開啟Windows 工作管理員.
Windows NT/2000/XP系統, 請按
CTRL+SHIFT+ESC, 然後點選”處理程序”標籤

刪除avserve.exe程序

注意:如果沒有出現avserve.exe程序，請至C:\WINNT\或是C:\Windows\目錄下直接刪除avserve.exe檔案

2. 安裝Microsoft所提供的MS04-011修正檔
   您可以直接由Windows Update網址(http://v4.windowsupdate.microsoft.com/zhtw/default.asp)更新或是下載MS04-011修正檔手動安裝：

http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp。


3. 手動移除病毒

   3.1 刪除 C:\WINNT\system32\?????_up.exe　(?????為不特定數字，檔案大小15872 bytes)

   3.2 刪除 C:\WINNT\avserve.exe 或是C:\Windows\ avserve.exe

   3.3 點選”開始->執行”。輸入”REGEDIT”然後按 Enter

      滑鼠雙擊下述路徑: /HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/

移除下列機碼：
avserve.exe

4.  電腦重新開機。

5. 建議您用防火牆阻擋有相關的port      
     Port 139 (tcp/udp)
     Port 445 (tcp/udp)

參考資訊：

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx (英文版)
http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp (中文版)

---

作者: Jonry    時間: 2004-5-2 01:00
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
公司裡已經傳出災情了...

不過還好, 都是一些沒裝 Hotfix 的機器, 重要的系統和大部份的人都乖乖的裝 Hotfix 了...

---

作者: lepicier    時間: 2004-5-2 01:20
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
阿......
原來我今天就中這個 .重灌後還是一樣.後來也是裝修正程式.才修復..

---

作者: nathan1002    時間: 2004-5-2 01:37
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
原來我妹的NB今天就是中這個毒...
搞得我們莫名奇妙...昨天還好好的，今天就變樣了...@@

我的NB是有設自動下載hotfix，難怪我的沒事...
可是我小妹的沒有...慘... ><"

微軟每次都出這種大毗漏...Sigh...

---

作者: nox    時間: 2004-5-2 02:20
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
M$ 都已經發布安全性公告, 就不應該怪 M$ 出紕漏吧.

沒有一個作業系統可以保證絕對不會有安全性的問題, 就算是號稱再安全的 OS 也一樣; 尤其是沒有定時更新的這些安全問題的情況下.

話說回來, NetBIOS 真的是很容易出問題, 但是這玩意基本上就不應該讓區網網外接觸到, 為何不加個火牆作保護?

不過說到火牆, 剛更新的 FreeBSD - stable 居然已經到 4.10-PRERELEASE 的版本了說; 4.x 這個系列還真是長壽說.

---

作者: pdds    時間: 2004-5-2 03:01
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
我的剛才也中了說..害我以為怎麼了....還找不到方法解決
朋友也中了,但是比我還要緊張  ~.~"
感謝ast300阿...都沒注意說,現在才看到

---

作者: quennel020    時間: 2004-5-2 08:07
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
昨天就有人抱這種電腦過來,還以為是什麼色情小木馬哩.
刪了就沒事了,NAV掃不到

M$怎不全面回收這種有問題的OS,來保護消費者權益...

---

作者: arik    時間: 2004-5-2 08:35
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
別忘了…它是 M$ B)

Originally posted by quennel020 at 2004-5-2 08:07 AM:
昨天就有人抱這種電腦過來,還以為是什麼色情小木馬哩.
刪了就沒事了,NAV掃不到

M$怎不全面回收這種有問題的OS,來保護消費者權益...

---

作者: 小酒蟲    時間: 2004-5-2 09:00
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by quennel020 at 2004-5-1 17:07:
M$怎不全面回收這種有問題的OS,來保護消費者權益...

你可以換別套 OS 啊，M$ 又沒拿槍逼你用。

基本上很多人都這樣....不裝更新檔、愛亂開附檔、不裝防護軟體....出事了再來怪 M$。

[ Last edited by 小酒蟲 on 2004-5-1 at 18:04 ]

---

作者: vingtaine    時間: 2004-5-2 09:08
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
還有一堆可以裝在x86上的OS可選用

Originally posted by quennel020 at 2004-5-1 16:07:
昨天就有人抱這種電腦過來,還以為是什麼色情小木馬哩.
刪了就沒事了,NAV掃不到

M$怎不全面回收這種有問題的OS,來保護消費者權益...

---

作者: quennel020    時間: 2004-5-2 09:15
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by 小酒蟲 at 2004-5-2 09:00 AM:

你可以換別套 OS 啊，M$ 又沒拿槍逼你用。

基本上很多人都這樣....不裝更新檔、愛亂開附檔、不裝防護軟體....出事了再來怪 M$。

[ Last edited by 小酒蟲 on 2004-5-1 at 18:04 ]

嗯嗯
不過那些小朋友就不懂了,才國小5年級.
M$沒逼小朋友學,可是老師就只教學生這些.

上面也沒標明使用年齡限制和使用期限~

---

作者: ciao    時間: 2004-5-2 09:18
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
這個病毒是不是發作的時候會顯示
lsasser.exe執行無效 然後就在一分鐘之內強制重開機

我昨天也有碰到 後來去windows update以後就好了,可是我在我的windows目錄下面
沒有看到要刪除的那幾個檔案~~~

---

作者: parrot    時間: 2004-5-2 09:30
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by quennel020 at 2004-5-2 08:07 AM:
昨天就有人抱這種電腦過來,還以為是什麼色情小木馬哩.
刪了就沒事了,NAV掃不到

M$怎不全面回收這種有問題的OS,來保護消費者權益...

要用 2004/5/1 的病毒碼才掃的到

---

作者: czh    時間: 2004-5-2 10:05
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by quennel020 at 2004-5-2 09:15 AM:

嗯嗯
不過那些小朋友就不懂了,才國小5年級.
M$沒逼小朋友學,可是老師就只教學生這些.

上面也沒標明使用年齡限制和使用期限~

這就是詭辯
爭端都是由此開始的

---

作者: 小酒蟲    時間: 2004-5-2 10:06
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by quennel020 at 2004-5-1 18:15:
不過那些小朋友就不懂了,才國小5年級.
M$沒逼小朋友學,可是老師就只教學生這些.

不懂而出錯，當然不能賴到 M$ 頭上；請不要像另一篇 Txxx 600 一樣，亂找對象出氣。

老師只教這些，那就是老師沒教好了；難道學開車時第一件事是教踩油門而不是上安全帶，等出車禍死掉了再怪車廠？

[ Last edited by 小酒蟲 on 2004-5-1 at 19:10 ]

---

作者: Jonry    時間: 2004-5-2 10:36
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by ciao at 2004-5-2 09:18 AM:
這個病毒是不是發作的時候會顯示
lsasser.exe執行無效 然後就在一分鐘之內強制重開機

是的。

我昨天也有碰到 後來去windows update以後就好了,可是我在我的windows目錄下面
沒有看到要刪除的那幾個檔案~~~

防毒程式刪掉了吧?

---

作者: quennel020    時間: 2004-5-2 10:51
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by czh at 2004-5-2 10:05 AM:

這就是詭辯
爭端都是由此開始的

這我的感覺而已,沒要辯什麼B)
到此為止,不然離太遠了.

---

作者: Jonry    時間: 2004-5-2 10:53
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
好吧, 即然很多人都沒有安全概念, 以為裝了防毒軟體就萬事 OK,
那就請學校老師去教教資訊安全吧...

防毒軟體不是萬能, 裝了最近的病毒碼也不是沒事,
病毒可以用合法的指令做非法的事,
只要有人疏忽, 就會給病毒機會!!

就是這樣, 我下午又要去公司加班了....

---

作者: quennel020    時間: 2004-5-2 10:57
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by 小酒蟲 at 2004-5-2 10:06 AM:

不懂而出錯，當然不能賴到 M$ 頭上；請不要像另一篇 Txxx 600 一樣，亂找對象出氣。

老師只教這些，那就是老師沒教好了；難道學開車時第一件事是教踩油門而不是上安全帶，等出車禍死掉了再怪車廠？

[ Last edited by 小酒蟲 on 2004-5-1 at 19:10 ]

話題打住吧,不然又要聊到什麼十年教改,教育資源分配,消費者權益...

---

作者: ciao    時間: 2004-5-2 11:14
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by Jonry at 2004-5-2 10:36 AM:

是的。

防毒程式刪掉了吧?

希望如此 不過我windows update之後就沒有復發過了啦~~

---

作者: 小酒蟲    時間: 2004-5-2 12:47
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by quennel020 at 2004-5-1 19:57:
話題打住吧,不然又要聊到什麼十年教改,教育資源分配,消費者權益...

總之，不管用那種 OS，請都先學如何保護資料。

---

作者: luketang    時間: 2004-5-2 13:34
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
哎~~為了修正這問題 週六再公司加班了一整天幫USER的電腦做Windows Update
病毒碼也是..NAV一週更新了不知多少版了~~

---

作者: 阿輝    時間: 2004-5-2 18:00
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
沒想到我也中標了 =''=

---

作者: biko    時間: 2004-5-3 10:54
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
今天辦公室裡也幾乎全中..還好我是用98..沒事..
不過..
   3.2 刪除 C:\WINNT\avserve.exe 或是C:\Windows\ avserve.exe
變成了avserve2.exe檔了哦..
是又變型了嗎??
不過..照上述方式更新後大致就沒問題了..

---

作者: HUANGLIFU    時間: 2004-5-4 03:33
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
基本上，補丁檔不管有沒有什麼奇怪的情形，只要不會搞到不能開機就認命裝吧，開DMZ沒有事，應該是補丁檔裝好了。

---

作者: newmans    時間: 2004-5-4 03:38
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
我也中此病毒3個禮拜前..
以下連結可以免費線上掃毒..很簡單喔

http://housecall.trendmicro.com/housecall/start_corp.asp
趨勢科技..

若本篇連結有所不妥請版主或站長直接刪除本留言

---

作者: Checko    時間: 2004-5-4 07:38
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
奇怪，網路上都只有說明解毒方法，沒有說明”中毒”方法。

我們的file server，平時根本就不執行外來程式的，也中了。
所以就算是不亂開檔也會中毒囉？

---

作者: 小酒蟲    時間: 2004-5-4 08:22
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
從 opened ports 直接摸進來？

---

作者: parrot    時間: 2004-5-4 09:38
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
應該是 File Sharing (Port 139, Port 445)

---

作者: pijay    時間: 2004-5-4 09:52
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
我叔叔的電腦.....umm...應該說是股票機(只用來看股票).....也中了!!!真是可怖..

---

作者: ychao    時間: 2004-5-4 17:02
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
沒想到連最後淨土郵局也掛成這樣... 萬一將來連大型主機都改用... 的話，實在很難想像...

駭客「木馬」進郵局　「殺手」掛了終端機！
http://tw.news.yahoo.com/040503/39/mdt0.html

1/3郵局電腦癱瘓 今正常作業
http://tw.news.yahoo.com/040504/19/mewj.html

高縣上百郵局受攻擊 延長營業時間
http://tw.news.yahoo.com/040503/4/mdi0.html

郵局遭到電腦病毒：三分之一郵局改採人工作業，主機ATM未受影響
http://tw.news.yahoo.com/040503/4/md0k.html

郵局遭殺手病毒大規模攻擊！1600台電腦停擺！三分之一郵局中毒！
http://tw.news.yahoo.com/040503/4/me5z.html

---

作者: chenhsiangjung    時間: 2004-5-4 22:49
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
沒辦法.....這種病毒直接就會攻擊了....同一個網路下或沒有防火牆做防禦
又沒做修正...只要有一台中...公司內的電腦災情一定粉可怕
.....和疾風和CodeRed都是同一型的..
不像Email  NetSky那種要開檔才會中標...
看來改用win98可能比較安全一點點...

---

作者: vet2000    時間: 2004-5-5 00:55
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by newmans at 2004-5-4 03:38 AM:
我也中此病毒3個禮拜前..
以下連結可以免費線上掃毒..很簡單喔
http://housecall.trendmicro.com/housecall/start_corp.asp
趨勢科技..
若本篇連結有所不妥請版主或站長直接刪除本留言

發現到中文介面的，竟然要收費，
英文介面的，不用收費！
很爛的差別待遇！

---

作者: 小酒蟲    時間: 2004-5-5 04:51
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by vet2000 at 2004-5-4 09:55:
發現到中文介面的，竟然要收費，
英文介面的，不用收費！
很爛的差別待遇！

我從十多年前發現它台灣版要裝硬體鎖，而海外版不需要時，就認定趨勢科技這公司是歧視台灣人的漢奸了。

[ Last edited by 小酒蟲 on 2004-5-4 at 13:55 ]

---

作者: bryanpuff    時間: 2004-5-6 01:45
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響
還好‥目前似乎沒事‥以前中毒中怕了‥B)

---

作者: Checko    時間: 2004-5-7 18:52
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by 小酒蟲 at 2004-5-4 08:22 AM:
從 opened ports 直接摸進來？

好像是這樣，從opened port進來，將檔案放在WINNT和system21下，修改registry。
這時候只要不重開機都沒問題。

一但重開機後，因為registry指定開機執行剛剛放進來的檔案，就中毒了。

我發現Win2k SP2 + MS0411後還是會中毒，不過Win2000會說：

系統需要舊版程式才能正確執行，請將原SP2光碟放入CD中。

然後要放入Win2000 CD才能繼續動作。

... 好像有變種了：AVSERVE.

---

作者: Jonry    時間: 2004-5-7 23:37
標題: Re: [分享] “Sasser”病毒開始肆虐，Windows作業系統再受影響

Originally posted by Checko at 2004-5-7 06:52 PM:
好像是這樣，從opened port進來，將檔案放在WINNT和system21下，修改registry。
這時候只要不重開機都沒問題。

沒那麼簡單, 只要 LSASS 的漏洞沒修, 病毒除了種 AVSERVE.EXE 之外, 還會遙控被害的電腦重新開機, 所以就算你不重開機, 病毒也會替你重新開機。

我發現Win2k SP2 + MS0411後還是會中毒，不過Win2000會說：
系統需要舊版程式才能正確執行，請將原SP2光碟放入CD中。
然後要放入Win2000 CD才能繼續動作。

理論上 MS04-011 的 Patch 只要有 SP2 就能安裝, 但是還是有別的漏洞沒修到,
所以還是勤快點, 把 SP4 也裝上去吧!

... 好像有變種了：AVSERVE.

早就有了, Sarsser 第一代在 4/30 出現, 第二代(Sarsser.B)在隔天就出現了,
而且第一代的 Sarsser 在 Symantec 的警戒是第三級,
Sarsser.B 卻是第四級警戒 !!

現在都出到 Sarsser.D 了。

---

歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/)

Powered by Discuz! X2.5