W32.Sasser 及 变 种 蠕 虫

内 容

W32.Sasser 及 变 种 蠕 虫 是 一 种 攻 击 微 软 视 窗 LSASS 漏 洞 MS04-011 的 蠕 虫 。

电 脑 病 毒 防 护 软 件 商 已 发 现 数 个 蠕 虫 会 这 个 攻 击 漏 洞 ：

• W32.Sasser.A 蠕 虫
• W32.Sasser.B 蠕 虫

蠕 虫 会 透 过 随 机 扫 描 IP 地 址 并 尝 试 连 接 有 漏 洞 系 统 的 TCP 连 接 埠 445 进 行 传 播 。 如 果 连 接 成 功 ， 它 会 传 送 一 个 特 制 的 封 包 去 攻 击 这 个 漏 洞 。

当 电 脑 受 到 蠕 虫 攻 击 ， 系 统 可 能 会 显 示 以 下 的 讯 息 闸 ：

蠕 虫 会 利 用 这 个 漏 洞 开 启 一 个 监 听 连 接 埠 9996 的 远 端 命 令 核 。 它 连 接 到 这 个 命 令 核 的 连 接 埠 后 会 在 受 感 染 电 脑 上 的 系 统 资 料 夹 建 立 一 个 名 为 "cmd.ftp" ftp 脚 本 程 式 。 这 个 脚 本 程 式 会 指 示 受 感 染 的 电 脑 经 FTP 下 载 和 执 行 蠕 虫 的 副 本 。 FTP 伺 服 器 会 在 受 感 染 的 电 脑 上 监 听 TCP 连 接 埠 5554 ， 对 其 他 受 感 染 的 电 脑 提 供 蠕 虫 副 本 的 FTP 下 载 。 FTP 伺 服 器 的 传 输 记 录 会 写 入 'C:\win.log' 的 档 案 。

每 个 变 种 蠕 虫 都 有 少 许 不 同 。 每 个 变 种 蠕 虫 的 具 体 特 征 如 下 ：

W32.Sasser.A worm

它 会 复 制 自 己 并 以 avserve.exe 命 名 和 加 入 以 下 的 设 定 ：

"avserve.exe"="%Windir%\avserve.exe"

至 登 录 索 引 值 ：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

因 此 ， 每 当 启 动 视 窗 时 ， W32.Sasser.A 蠕 虫 便 会 自 动 执 行 。

W32.Sasser.B worm

它 会 复 制 自 己 并 以 avserve2.exe 命 名 和 加 入 以 下 的 设 定 ：

"avserve2.exe"="%Windir%\avserve.exe"

至 登 录 索 引 值 ：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

因 此 ， 每 当 启 动 视 窗 时 ， W32.Sasser.A 蠕 虫 便 会 自 动 执 行 。

受 影 响 之 系 统

• 微 软 视 窗 2000
• 微 软 视 窗 XP
• 微 软 视 窗 2003

• 降 低 电 脑 的 效 能

• 在 TCP 连 接 埠 9996 开 启 一 个 远 端 命 令 核

• 在 TCP 连 接 埠 5554 开 启 一 个 FTP 伺 服 器

解 决 方 案

1. 对 于 受 感 染 的 电 脑 ，

   当 你 遇 到 "Shutdown in 60 seconds" 的 对 话 闸 时 ， 按 开 始 /执 行 ， 并 输 入 'shutdown -a' 便 可 暂 时 解 决 关 闭 电 脑 的 问 题 。

2. 未 安 装 修 补 程 式 的 电 脑 请 参 照 以 下 的 步 骤 ：

   下 载 并 安 装 微 软 视 窗 LSASS 漏 洞 的 修 补 程 式

   注 意 ： 建 议 使 用 视 窗 98 、 视 窗 ME 或 已 安 装 修 补 程 式 的 个 人 电 脑 下 载 这 个 修 补 程 式 ， 再 经 软 碟 及 光 碟 抄 录 到 受 感 染 电 脑 上 ， 这 样 较 为 安 全 。

   紧 记 选 择 下 面 一 个 正 确 的 视 窗 平 台 及 语 言 去 下 载 修 补 程 式 ：

   视 窗 2000 (英 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en

   视 窗 2000 (繁 体 中 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=0692C27E-F63A-414C-B3EB-D2342FBB6C00

   视 窗 XP Home 及 视 窗 Professional 版 本 (英 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

   视 窗 XP Home 及 视 窗 Professional 版 本 (繁 体 中 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

   视 窗 伺 服 器 2003 (英 文 版 ):
   http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

   视 窗 伺 服 器 2003 (繁 体 中 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

   其 他 视 窗 平 台 ：
   http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

   下 载 完 成 后 ， 会 开 始 安 装 这 修 补 程 式 ， 只 选 要 按 “ 下 一 步 ” 直 至 “ 完 成 ” 。 电 脑 会 重 新 启 动 。

3. 扫 描 及 消 除 病 毒

   1. 重 新 启 动 之 后 ， 请 预 备 一 个 Symantec 的 蠕 虫 刪 除 程 式 到 桌 面 ， 留 待 稍 后 使 用
      

      1. 蠕 虫 刪 除 程 式 可 到 下 面 的 网 址 下 载 ：
         http://securityresponse.symantec.com/avcenter/FxSasser.exe

         注 意 : 最 好 在 一 部 不 受 影 响 的 系 统 (视 窗 98、 视 窗 ME) 或 已 修 补 好 的 系 统 下 载 蠕 虫 刪 除 程 式 ， 再 经 软 碟 及 光 碟 抄 录 到 受 感 染 电 脑 上 ， 这 样 较 为 安 全 。

      2. 下 载 时 ， 选 “ 储 存 档 案 ” → 储 存 至 “ 桌 面 ” → 按 “ 储 存 ” 。 卓 面 上 会 显 示 程 式 的 大 图 示 。

   2. 视 窗 XP 主 机 在 执 行 电 脑 病 毒 防 护 程 式 前 ， 请 依 照 下 列 步 骤 关 闭 "系 统 还 原 "： (视 窗 2000 及 视 窗 NT 可 略 去 此 步 骤 )

      1. 按 下 “ 开 始 ” 。

      2. 在 “ 我 的 电 脑 ” 按 下 滑 鼠 右 键 ， 然 后 按 下 “ 内 容 ” 。

      3. 按 下 “ 系 统 还 原 ” 标 签 。

      4. 勾 选 “ 关 闭 系 统 还 原 ” 或 “ 关 闭 所 有 磁 碟 上 的 系 统 还 原 ” 。

      5. 按 下 “ 套 用 ” ， 然 后 按 下 “ 确 定 ” 。

      6. 如 讯 息 中 所 说 ,这 将 会 删 除 所 有 现 存 的 系 统 还 原 。 按 “ 是 ” 继 续 。

      7. 按 “ 确 定 ” 。

   3. 在 安 全 模 式 下 执 行 电 脑 病 毒 防 护 软 件 ， 确 保 不 会 有 任 何 档 案 被 锁 上 及 正 常 移 除 所 有 档 案

      1. 重 新 启 动 电 脑

      2. 于 启 动 时 连 续 按 "F8" 直 至 出 现 开 机 选 单

      3. 选 择 "安 全 模 式 "

      4. 进 入 安 全 模 式 后 ， 执 行 电 脑 病 毒 防 护 软 件 扫 描 你 的 电 脑

      5. 一 直 扫 描 至 完 成 为 止

      6. 重 新 启 动 电 脑 并 进 入 "正 常 模 式 "

4. 还 原 视 窗 XP 设 定 (视 窗 2000 及 视 窗 NT 可 略 去 此 步 骤 )

   1. 按 下 “ 开 始 ”

   2. 在 “ 我 的 电 脑 ” 按 下 滑 鼠 右 键 ， 然 后 按 下 “ 内 容 ” 。

   3. 按 下 “ 系 统 还 原 ” 标 签 ， 取 消 勾 选 “ 关 闭 系 统 还 原 ” 或 “ 关 闭 所 有 磁 碟 上 的 系 统 还 原 ”

   4. 按 “ 套 用 ” ， 再 按 “ 确 定 ”

   5. 重 新 启 动 电

至 此 ， 受 感 到 染 电 脑 应 已 修 复 。 同 时 ， 因 为 修 补 程 式 已 堵 塞 LSASS 的 安 全 漏 洞 ， 因 此 电 脑 能 抵 御 任 何 针 对 这 个 漏 洞 的 变 种 蠕 虫 攻 击 。

不 过 ， 下 面 的 选 择 性 建 议 ， 可 以 进 一 步 改 善 你 的 电 脑 防 御 效 果 。

---

选 择 性 建 议 步 骤 以 对 抗 蠕 虫 的 攻 击

设 定 防 火 墙 过 滤 网 络 交 通

• 若 公 司 安 装 有 防 火 墙 或 带 有 防 火 墙 功 能 的 宽 频 路 由 器 ， 可 设 定 为 阻 塞 从 互 联 网 进 入 存 取 LSARPC 服 务 的 交 通 ， 确 保 内 部 网 络 上 所 有 机 器 的 安 全 ， 有 效 地 减 低 公 司 的 风 险 。 需 要 在 防 火 墙 禁 止 的 服 务 包 括 ：

  TCP/UDP 139
  TCP/UDP 445

  此 外 ， 蠕 虫 可 能 会 使 用 到 以 下 的 连 接 埠 ， 都 必 须 阻 塞
  

  TCP 9996
  TCP 5554

  注 意 ： 请 先 核 对 现 时 的 服 务 没 有 采 用 这 个 连 接 埠

  如 果 不 能 禁 止 所 有 外 来 主 机 的 存 取 ， 我 们 建 议 限 制 只 允 许 日 常 操 作 所 需 的 主 机 进 行 存 取 。 根 据 良 好 的 习 惯 ， 除 日 常 操 作 需 要 的 网 络 交 通 以 外 ， 其 他 的 网 络 交 通 都 应 过 滤 。

• 家 用 及 个 人 电 脑 安 装 有 防 火 墙 功 能 的 宽 频 路 由 器 (硬 件 ) 或 个 人 防 火 墙 (软 件 ) 去 阻 挡 蠕 虫 攻 击 。
  视 窗 XP 的 使 用 者 亦 可 开 启 内 建 的 个 人 防 火 墙   "网 际 网 路 连 线 防 火 墙 "。 详 细 的 步 骤 可 参 照 以 下 网 址 ：
  http://www.microsoft.com/WindowsXP/home/using/howto/homenet/icf.asp

相 关 网 址