SASSER(殺手)中文說明!
說明:
此蠕蟲攻擊Windows LSASS弱點, 也就是緩衝區溢位允許遠端程式碼執行和攻擊用戶端, 以便取得受感染系統完整的控制權. 此弱點的詳細資料可在下面網頁中查詢:
MS04-011_MICROSOFT_WINDOWS
Microsoft Security Bulletin MS04-011
為了大量散播病毒檔案, 病毒掃描網路以便搜尋未修正的系統. 當它找到有弱點的系統時, 此惡意程式會傳送一個特定封包造成LSASS.EXE程式緩衝區溢位.
病毒會感染Windows NT, 2000, 和XP系統.
解決方案:
手動清除步驟
Note: 下面兩個步驟適用於Windows NT, 2000, 和XP系統. 若使用Windows 95, 98, 和ME系統, 請按照 重新啟動電腦進入安全程式的程序執行.
找出惡意程式(Windows NT, 2000, 和XP系統)
為了要移除此惡意程式, 首先必須先找出惡意程式的位置.
使用趨勢科技防毒軟體掃描系統.
找出所有偵測為WORM_SASSER.C的病毒檔案.
掃描系統之前, 趨勢科技用戶必須下載 最新的病毒碼檔案.
關閉惡意程式(Windows NT, 2000, 和XP系統)
此程序可關閉惡性程式於記憶體中的處理程序,您必須先使用防毒軟體掃描系統後記下先前掃描到病毒的檔案名稱.
請按CTRL+SHIFT+ESC, 然後點選處理程序標籤以便開啟Windows 工作管理員.
在執行的程式程序名單中,找出先前偵測到的病毒檔案名稱.
選擇惡意程式的處理程序,點選結束處理程序按鈕.
為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟.
關閉工作管理員.
重新啟動電腦進入安全模式(Windows 95, 98, 和ME系統)
Windows 95
重新啟動電腦
出現"Starting Windows 95"訊息時按F8
在Windows 95開機選單選擇安全模式並按Enter.
Windows 98/ME
重新啟動電腦.
按住CTRL鍵直到Windows 98開機選單出現
選擇安全模式並按Enter
移除登錄編輯程式中自動啟動的機碼
移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.
開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter.
在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右側視窗中,刪除此機碼:
avserve2.exe = "%Windows%\avserve2.exe"
(Note: %Windows%指的是系統的Windows資料夾, 通常是C:\Windows或是C:\WINNT.)
關閉登錄編輯程式.
--------------------------------------------------------------------------------
NOTE:假如用戶無法依照先前的步驟關閉記憶體中惡意程式的處理程序,請重新啟動電腦.
Windows ME/XP額外清除步驟
使用趨勢科技防毒軟體
使用趨勢科技防毒軟體掃描您的系統, 刪除所有感染WORM_SASSER.C的檔案. 趨勢科技用戶必須下載 最新病毒碼 和掃描系統.
安裝修正程式
下載最新的修正程式. 有關此惡意程式使用該弱點的相關修正程式及詳細資訊. 您可參考下面網址:
Microsoft Security Bulletin MS04-011
(出自趨勢科技) |
本周最热论坛帖子
发表于 12-5-2004 06:48 PM
变色卡
千斤顶
楼主
1726 
24
![10年猪朋狗友竟欺诈 骗走120万美容品[更新两个视频]](https://u2023.cari.com.my/data/avatar/001/55/96/42_avatar_small.jpg){kind=avatar}
