computer 版 (精华区)

发信人: Jesus (人类一思考，上帝就发笑), 信区: computer       
标  题: Win32.sasser病毒的解决方法[virus@smth]
发信站: BBS 听涛站 (Sun May  2 16:42:04 2004), 转信

发信人: etnlegend (即将尘封的传说), 信区: Virus
标  题: [New]关于W32.Sasser.Worm的概况和处理方法
发信站: BBS 水木清华站 (Sat May  1 14:35:03 2004), 站内

今天爆发的病毒已经被Symantec确认为W32.Sasser.Worm！
其技术资料可以参见文摘区 934 或如下链接：
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html

已知W32.Sasser.Worm可以感染 Microsoft Windows NT/2000/XP/2003 的操作系统，
现已确认Norton AntiVirus 4月30日的病毒定义无法对其进行查杀，
截至发文时间最新的5月1日的测试病毒定义已经包含了该病毒的描述！

本版已提供该病毒定义附件下载，请参见文摘区 935-937！

本版精华区-4-19设为W32.Sasser.Worm专题！

各位网友可以通过已更新病毒的NAV系列产品来清除该病毒！

下面是病毒定义未发布前总结的处理方案——有强参考价值！

染毒计算机的主要症状为：
（1）进程中出现 avserve.exe 和 *****_up.exe，占用大量资源；
     其中*****为从0～65535之间的随机数字
（2）出现LSA Shell错误；
（3）导致系统进程lsass.exe错误，并进而导致计算机强迫重启；
（4）有网友反馈计算机的管理员权限帐户口令被修改（未证实）。

目前的主要应对措施为：
（1）安装微软的安全更新 KB837001，KB828741，KB835732；
     推荐先下载到本地计算机上，再断网安装！
     请注意版面上整理的分流FTP列表——暂时置底！
（2）将系统时间改为若干年前，可以使强迫关机时间变得很长（权宜之计）；
（3）通过安装防火墙软件关闭计算机的445端口——安装补丁后不必要；
（4）终止avserve和*****_up进程，并删除注册表中与avserve和_up相关的健值；
（5）断网删除硬盘上以avserve或_up为关键字分别搜索到的.exe和.pf文件；
     注：如果已经终止了病毒的进程，则无须进入安全模式执行该操作
（6）敬请关注本版最新动态。

备注：系统管理员密码被更改导致没有任何办法进入系统，请参见
      WindowsApp版置底的文章

      对于破解不好的盗版中文XP可能出现补丁语言与安装语言不一致的问题，
      请尝试使用英文版补丁，如果不行，请参考精华区4-18-1-18文所述方法。

      WinXP下出现由于update.inf错误以及由于其他一些原因而安装不了sp和补丁
      的官方解决办法：打开资源管理器，进入到系统文件夹下，
      如C:\Windows\System32下，删除Catroot2文件夹，
      关闭资源管理器(这一步很重要)，然后就可以Update，详见精华区4-18-1。

附：目前提供分流的FTP列表——

微软代理：202.194.15.124:8080
建议解决问题之后在线更新打全补丁。
XP SP1的用户不用担心打完补丁还要激活的情况。

ftp://219.224.132.29
ftp://patch:patch@159.226.67.144:55555
ftp://patch:patch@166.111.137.18:9021
ftp://temp:temp@219.224.187.235:10021
ftp://vir:vir@frost.3322.org:521
ftp://219.224.190.248/update
ftp://zj9.3322.org/常用补丁/Windows补丁/█████！最新安全更新！请及时安装！/
ftp://219.224.132.29
ftp://vv:vv@166.111.174.141:8021
ftp://zj8#@219.224.180.69/pub/
ftp://219.224.193.89
ftp://dme2.3322.org/个人中转/保留3天/0000000_2k补丁/
ftp://virus:virus@219.224.183.163/        ——etnlegend's FTP
ftp://temp:temp@166.111.138.30:1021
ftp://virus:virus@219.224.169.56:4021
ftp://dme1.3322.org/incoming/_病毒库及补丁/!微软安全漏洞补丁
ftp://166.111.86.36:8021/pub2/Software/W2kPatch/有中文版win2k的关键补丁
http://www.ccert.edu.cn/announce/show.php?handle=101
ftp://166.111.54.236
ftp://166.111.172.77/incoming/virusDB/
ftp://dte.3322.org/Update/Win_xp/

--
 ┏█￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ヽ￣￣█┓
 █┛ ゝ     ヴロ    ー  ヽ-よ  ヽ   ┌ー┓丿ー        ┏ ー   ┗█
 ▏   フ,ロ   の  ロ|丅 ｀ーナ  ー   〡ヱ│ |ろ  こレ  │十      ▕
 ▏   ㄧノし ノゝ    丨  √/寸 ノゝ  丿ロ亅ー十  ンロ  丿丿ゝ    ▕
 █┓                                        ┃                ┏█
 ┗█____bbs.tingtao.net_____________________丨166.111.162.88__█┛


※ 修改:·chumsdock 于 May  2 16:43:22 修改本文·[FROM: 219.224.174.181]
※ 来源:·BBS 听涛站 tingtao.net·[FROM: 219.224.174.172]