W32.Sasser 及 變 種 蠕 蟲

內 容

W32.Sasser 及 變 種 蠕 蟲 是 一 種 攻 擊 微 軟 視 窗 LSASS 漏 洞 MS04-011 的 蠕 蟲 。

電 腦 病 毒 防 護 軟 件 商 已 發 現 數 個 蠕 蟲 會 這 個 攻 擊 漏 洞 ：

• W32.Sasser.A 蠕 蟲
• W32.Sasser.B 蠕 蟲

蠕 蟲 會 透 過 隨 機 掃 描 IP 地 址 並 嘗 試 連 接 有 漏 洞 系 統 的 TCP 連 接 埠 445 進 行 傳 播 。 如 果 連 接 成 功 ， 它 會 傳 送 一 個 特 制 的 封 包 去 攻 擊 這 個 漏 洞 。

當 電 腦 受 到 蠕 蟲 攻 擊 ， 系 統 可 能 會 顯 示 以 下 的 訊 息 閘 ：

蠕 蟲 會 利 用 這 個 漏 洞 開 啟 一 個 監 聽 連 接 埠 9996 的 遠 端 命 令 核 。 它 連 接 到 這 個 命 令 核 的 連 接 埠 後 會 在 受 感 染 電 腦 上 的 系 統 資 料 夾 建 立 一 個 名 為 "cmd.ftp" ftp 腳 本 程 式 。 這 個 腳 本 程 式 會 指 示 受 感 染 的 電 腦 經 FTP 下 載 和 執 行 蠕 蟲 的 副 本 。 FTP 伺 服 器 會 在 受 感 染 的 電 腦 上 監 聽 TCP 連 接 埠 5554 ， 對 其 他 受 感 染 的 電 腦 提 供 蠕 蟲 副 本 的 FTP 下 載 。 FTP 伺 服 器 的 傳 輸 記 錄 會 寫 入 'C:\win.log' 的 檔 案 。

每 個 變 種 蠕 蟲 都 有 少 許 不 同 。 每 個 變 種 蠕 蟲 的 具 體 特 徵 如 下 ：

W32.Sasser.A worm

它 會 複 製 自 己 並 以 avserve.exe 命 名 和 加 入 以 下 的 設 定 ：

"avserve.exe"="%Windir%\avserve.exe"

至 登 錄 索 引 值 ：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

因 此 ， 每 當 啟 動 視 窗 時 ， W32.Sasser.A 蠕 蟲 便 會 自 動 執 行 。

W32.Sasser.B worm

它 會 複 製 自 己 並 以 avserve2.exe 命 名 和 加 入 以 下 的 設 定 ：

"avserve2.exe"="%Windir%\avserve.exe"

至 登 錄 索 引 值 ：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

因 此 ， 每 當 啟 動 視 窗 時 ， W32.Sasser.A 蠕 蟲 便 會 自 動 執 行 。

受 影 響 之 系 統

• 微 軟 視 窗 2000
• 微 軟 視 窗 XP
• 微 軟 視 窗 2003

• 降 低 電 腦 的 效 能

• 在 TCP 連 接 埠 9996 開 啟 一 個 遠 端 命 令 核

• 在 TCP 連 接 埠 5554 開 啟 一 個 FTP 伺 服 器

解 決 方 案

1. 對 於 受 感 染 的 電 腦 ，

   當 你 遇 到 "Shutdown in 60 seconds" 的 對 話 閘 時 ， 按 開 始 /執 行 ， 並 輸 入 'shutdown -a' 便 可 暫 時 解 決 關 閉 電 腦 的 問 題 。

2. 未 安 裝 修 補 程 式 的 電 腦 請 參 照 以 下 的 步 驟 ：

   下 載 並 安 裝 微 軟 視 窗 LSASS 漏 洞 的 修 補 程 式

   注 意 ： 建 議 使 用 視 窗 98 、 視 窗 ME 或 已 安 裝 修 補 程 式 的 個 人 電 腦 下 載 這 個 修 補 程 式 ， 再 經 軟 碟 及 光 碟 抄 錄 到 受 感 染 電 腦 上 ， 這 樣 較 為 安 全 。

   緊 記 選 擇 下 面 一 個 正 確 的 視 窗 平 台 及 語 言 去 下 載 修 補 程 式 ：

   視 窗 2000 (英 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en

   視 窗 2000 (繁 體 中 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=0692C27E-F63A-414C-B3EB-D2342FBB6C00

   視 窗 XP Home 及 視 窗 Professional 版 本 (英 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

   視 窗 XP Home 及 視 窗 Professional 版 本 (繁 體 中 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

   視 窗 伺 服 器 2003 (英 文 版 ):
   http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

   視 窗 伺 服 器 2003 (繁 體 中 文 版 )：
   http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

   其 他 視 窗 平 台 ：
   http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx

   下 載 完 成 後 ， 會 開 始 安 裝 這 修 補 程 式 ， 只 選 要 按 “ 下 一 步 ” 直 至 “ 完 成 ” 。 電 腦 會 重 新 啟 動 。

3. 掃 描 及 消 除 病 毒

   1. 重 新 啟 動 之 後 ， 請 預 備 一 個 Symantec 的 蠕 蟲 刪 除 程 式 到 桌 面 ， 留 待 稍 後 使 用
      

      1. 蠕 蟲 刪 除 程 式 可 到 下 面 的 網 址 下 載 ：
         http://securityresponse.symantec.com/avcenter/FxSasser.exe

         注 意 : 最 好 在 一 部 不 受 影 響 的 系 統 (視 窗 98、 視 窗 ME) 或 已 修 補 好 的 系 統 下 載 蠕 蟲 刪 除 程 式 ， 再 經 軟 碟 及 光 碟 抄 錄 到 受 感 染 電 腦 上 ， 這 樣 較 為 安 全 。

      2. 下 載 時 ， 選 “ 儲 存 檔 案 ” → 儲 存 至 “ 桌 面 ” → 按 “ 儲 存 ” 。 卓 面 上 會 顯 示 程 式 的 大 圖 示 。

   2. 視 窗 XP 主 機 在 執 行 電 腦 病 毒 防 護 程 式 前 ， 請 依 照 下 列 步 驟 關 閉 "系 統 還 原 "： (視 窗 2000 及 視 窗 NT 可 略 去 此 步 驟 )

      1. 按 下 「 開 始 」 。

      2. 在 「 我 的 電 腦 」 按 下 滑 鼠 右 鍵 ， 然 後 按 下 「 內 容 」 。

      3. 按 下 「 系 統 還 原 」 標 籤 。

      4. 勾 選 「 關 閉 系 統 還 原 」 或 「 關 閉 所 有 磁 碟 上 的 系 統 還 原 」 。

      5. 按 下 「 套 用 」 ， 然 後 按 下 「 確 定 」 。

      6. 如 訊 息 中 所 說 ,這 將 會 刪 除 所 有 現 存 的 系 統 還 原 。 按 「 是 」 繼 續 。

      7. 按 「 確 定 」 。

   3. 在 安 全 模 式 下 執 行 電 腦 病 毒 防 護 軟 件 ， 確 保 不 會 有 任 何 檔 案 被 鎖 上 及 正 常 移 除 所 有 檔 案

      1. 重 新 啟 動 電 腦

      2. 於 啟 動 時 連 續 按 "F8" 直 至 出 現 開 機 選 單

      3. 選 擇 "安 全 模 式 "

      4. 進 入 安 全 模 式 後 ， 執 行 電 腦 病 毒 防 護 軟 件 掃 描 你 的 電 腦

      5. 一 直 掃 描 至 完 成 為 止

      6. 重 新 啟 動 電 腦 並 進 入 "正 常 模 式 "

4. 還 原 視 窗 XP 設 定 (視 窗 2000 及 視 窗 NT 可 略 去 此 步 驟 )

   1. 按 下 「 開 始 」

   2. 在 「 我 的 電 腦 」 按 下 滑 鼠 右 鍵 ， 然 後 按 下 「 內 容 」 。

   3. 按 下 「 系 統 還 原 」 標 籤 ， 取 消 勾 選 「 關 閉 系 統 還 原 」 或 「 關 閉 所 有 磁 碟 上 的 系 統 還 原 」

   4. 按 「 套 用 」 ， 再 按 「 確 定 」

   5. 重 新 啟 動 電

至 此 ， 受 感 到 染 電 腦 應 已 修 復 。 同 時 ， 因 為 修 補 程 式 已 堵 塞 LSASS 的 安 全 漏 洞 ， 因 此 電 腦 能 抵 禦 任 何 針 對 這 個 漏 洞 的 變 種 蠕 蟲 攻 擊 。

不 過 ， 下 面 的 選 擇 性 建 議 ， 可 以 進 一 步 改 善 你 的 電 腦 防 禦 效 果 。

---

選 擇 性 建 議 步 驟 以 對 抗 蠕 蟲 的 攻 擊

設 定 防 火 牆 過 濾 網 絡 交 通

• 若 公 司 安 裝 有 防 火 牆 或 帶 有 防 火 牆 功 能 的 寬 頻 路 由 器 ， 可 設 定 為 阻 塞 從 互 聯 網 進 入 存 取 LSARPC 服 務 的 交 通 ， 確 保 內 部 網 絡 上 所 有 機 器 的 安 全 ， 有 效 地 減 低 公 司 的 風 險 。 需 要 在 防 火 牆 禁 止 的 服 務 包 括 ：

  TCP/UDP 139
  TCP/UDP 445

  此 外 ， 蠕 蟲 可 能 會 使 用 到 以 下 的 連 接 埠 ， 都 必 須 阻 塞
  

  TCP 9996
  TCP 5554

  注 意 ： 請 先 核 對 現 時 的 服 務 沒 有 採 用 這 個 連 接 埠

  如 果 不 能 禁 止 所 有 外 來 主 機 的 存 取 ， 我 們 建 議 限 制 只 允 許 日 常 操 作 所 需 的 主 機 進 行 存 取 。 根 據 良 好 的 習 慣 ， 除 日 常 操 作 需 要 的 網 絡 交 通 以 外 ， 其 他 的 網 絡 交 通 都 應 過 濾 。

• 家 用 及 個 人 電 腦 安 裝 有 防 火 牆 功 能 的 寬 頻 路 由 器 (硬 件 ) 或 個 人 防 火 牆 (軟 件 ) 去 阻 擋 蠕 蟲 攻 擊 。
  視 窗 XP 的 使 用 者 亦 可 開 啟 內 建 的 個 人 防 火 牆   "網 際 網 路 連 線 防 火 牆 "。 詳 細 的 步 驟 可 參 照 以 下 網 址 ：
  http://www.microsoft.com/WindowsXP/home/using/howto/homenet/icf.asp

相 關 網 址