| 事由:W32.SASSER病毒流竄
日期:2004.05/03
時間:AM 00:00 ~24:00
範圍:所有用戶
說明:
Microsoft 於5/1晚間發佈緊急重大安全公告,發覺一隻名為 W32.SASSER 的病蟲,目前正在網際網路上流竄。
它們會針對公告中提及的弱點加以攻擊。Microsoft 建議安裝 MS04-011 是保護自己使用環境最佳的方案。
這隻病毒主要的攻擊目標是Local Security Authority Subsystem Service(LSASS)服務。使用Windows
XP並啟動防火牆功能的使用者可以免於此次W32.Sasser病毒的攻擊,這個病毒主要是透過139連接埠 (TCP Port
139)進行攻擊,大部分提供防火牆服務的廠商的預設值已經將TCP Port 139關掉。
假如您已經感染 W32.SASSER 病蟲,請參考以下的緩和方案:
在工作站上啟用網際網路連線防火牆
(如何在 Windows XP 上啟用網際網路連線防火牆,請參考知識庫文件
http://support.microsoft.com/default.aspx?scid=kb;zh-tw;283673)
或使用協力廠商防火牆中斷與網際網路的連線
如果無法正常開機,請先開機至安全模式使用工作管理員刪除以下程序:
C:WINDOWSsystem32*_up.exe
avserve.exe
在硬碟裡搜尋以下檔案,並立即刪除:
C:WINDOWSavserve.exe
C:WINDOWSsystem32*_up.exe
使用登錄檔編輯器移除以下機碼值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"avserve.exe" = C:WINDOWSavserve.exe
連線至網際網路
連上 Windows Update 網站,點選 [掃描更新檔項目]
安裝重大更新與 Service Packs
造成您的困擾,敬請見諒。
謝謝您!
Seednet服務中心 敬上 |
