● 关于W32.Sasser.Worm的概况和处理方法 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: enjoy (为精华区添砖加瓦~~), 信区: Newsoftware
标  题: 关于W32.Sasser.Worm的概况和处理方法
发信站: 荔园晨风BBS站 (Sun May  2 23:27:30 2004), 站内信件

这几天爆发的病毒已经被Symantec确认为W32.Sasser.Worm！
其技术资料可以参见如下链接：
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.
worm.html

已知W32.Sasser.Worm可以感染 Microsoft Windows NT/2000/XP/2003 的操作系统，
现已确认Norton AntiVirus 4月30日的病毒定义无法对其进行查杀，截至发文时间
最新的5月1日的测试病毒定义已经包含了该病毒的描述！

各位网友可以通过已更新病毒的NAV系列产品来清除该病毒！

下面是病毒定义未发布前总结的处理方案——有强参考价值！

染毒计算机的主要症状为：
（1）进程中出现 avserve.exe 和 *****_up.exe，占用大量资源；
     其中*****为从0～65535之间的随机数字
（2）出现LSA Shell错误；
（3）导致系统进程lsass.exe错误，并进而导致计算机强迫重启；
（4）有网友反馈计算机的管理员权限帐户口令被修改（未证实）。

目前的主要应对措施为：
（1）安装微软的安全更新 KB837001，KB828741，KB835732；
     推荐先下载到本地计算机上，再断网安装！
（2）将系统时间改为若干年前，可以使强迫关机时间变得很长（权宜之计）；
（3）通过安装防火墙软件关闭计算机的445端口——安装补丁后不必要；
（4）终止avserve和*****_up进程，并删除注册表中与avserve和_up相关的健值；
（5）断网删除硬盘上以avserve或_up为关键字分别搜索到的.exe和.pf文件；
     注：如果已经终止了病毒的进程，则无须进入安全模式执行该操作

备注：系统管理员密码被更改导致没有任何办法进入系统，请参见
      WindowsApp版置底的文章

      对于破解不好的盗版中文XP可能出现补丁语言与安装语言不一致的问题，
      请尝试使用英文版补丁，如果不行，建议重装VLK版本

      WinXP下出现由于update.inf错误以及由于其他一些原因而安装不了sp和补
丁的官方解决办法：打开资源管理器，进入到系统文件夹下，
      如C:\Windows\System32下，删除Catroot2文件夹，
      关闭资源管理器(这一步很重要)，然后就可以Update。

--
※ 修改:·enjoy 於 May  2 23:27:48 修改本文·[FROM: 192.168.36.27]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.27]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店