Zaktualizowałem odnośniki do narzędzi usuwających mutację wirusa Sasser A-F
11.05.2004:
Zaktualizowałem odnośniki do narzędzi usuwających mutację wirusa Sasser A-E. Na dzień dzisiejszy niedostępne są narzędzia do usunięcia wirusa Sasser.F Artykuł zostanie zaktualizowany w najbliższym czasie.
Sasser to robak/wirus internetowy który wykorzystuje do rozpowszechniania się błąd opisany w Microsoft Security Bulletin MS04-011. Po zainfekowaniu systemu robak tworzy kopię samego siebie w pliku [avserve.exe] a następnie modyfikuje rejestr, obszar autostartu, tak by jego kopia była uruchamiana przy każdym starcie systemu Windows. Wirus na zainfekowanej maszynie uruchamia serwer FTP który pracuje na porcie 5554. Następnie robak generuje losowe adresy, IP komputerów i próbuje nawiązać z nim łączność. Gdy dojdzie do połączenia i okaże się, że atakowany komputer pracuje pod kontrolą Windows NT/2000/XP/2003 Server oraz systemy owe nie są zabezpieczone odpowiednią łatą wirus, przez port 445 uruchamia na zdalnym komputerze odpowiedni kod który wymusza pobranie z uruchomionego serwera kopii robaka. Swoją kopie zapisuje na dysku w postaci 4-5 cyfrowych nazw generowanych losowo i z rozszerzeniem [exe].
Gdy zostaliśmy zaatakowani…
Rozpoczynamy od przygotowania skrótu do pliku [shutdown.exe] który będziemy uruchamiać z przełącznikiem [-a] co uchroni nas przed zamknięciem systemu. Plik uruchamiamy w momencie pojawienia się okienka z monitem o restarcie systemu.
Tworzymy skrót….
Klikamy lewym klawiszem myszy na pulpicie wywołując menu podręczne. Z menu wybieramy [Nowy] następnie [Skrót]. Po chwili powinien nam się pokazać [Kreator skrótów], gdy nam się pojawi klikamy w [Przeglądaj] i przebijając się kolejno przez [Mój Komputerc:WindowsSystem32] rozwijamy drzewo i odnajdujemy plik [shutdown.exe]
Uruchamiamy Firewall…
Gdy posiadamy tak zwany "Firewall" – zaporę przeciwko atakom z zewnątrz uruchamiamy ją. Co pomoże w zapobiegnięciu kolejnym infekcjom. Użytkownicy systemów Windows XP/2003 Serwer wystarczy jak uruchomią wbudowany w system "Firewall". Aby to zrobić przechodzimy do [Panelu Sterowania] z tamtąd wybieramy [Połączenia sieciowe i internetowe] i przechodzimy dalej do [Połączeń Sieciowych]. Następnie klikając prawym klawiszem myszy na ikonie naszego połączenia internetowego wybieramy [Właściwości] i przechodzimy do zakładki [Zaawansowane], tam zaznaczamy odpowiedni kwadracik i potwierdzamy klikając w [OK].
Pobieramy poprawkę…
Kliknij na jeden z poniższych linków, lub skorzystaj z opcji [Windows Update] i pobierz wszystkie brakujące twemu systemowi poprawki.
Pobierz: Microsoft Windows 2000 SP2,SP3,SP4
Pobierz: Microsoft Windows XP/SP1
Pobierz: Microsoft Windows Server™ 2003
W razie czego….
Gdyby coś poszło nie tak tworzymy Punkt Przywracania Systemu (Windows XP/2003 Serwer). W tym celu z [Menu Start/Akcesoria/Narzędzia Systemowe] wybieramy pozycję [Przywracanie Systemu]. Następnie postępujemy zgodnie z opisem w kolejnych okienkach.
Na zakończenie posprzątajmy…
Gdy już zainstalowaliśmy poprawkę, należałoby poprzątać po wirusie. Do dyspozycji mamy narzędzia przygotowane przez różne firmy. Skorzystaj z jednego z nich.
Pobierz: Microsoft Sasser (A-F) Worm Removal Tool
Pobierz: MksClean firmy MKS (A-E)
Pobierz: FxSasser firmy Symantec(A-E)
Po usunięciu wirusa przez odpowiednie narzędzie tworzymy ponownie Punkt Przywracania Systemu i przechodzimy na dysk, na którym mamy zainstalowany system następnie z menu podręcznego wybieramy [Właściwości] i dalej [Oczyszczanie Dysku], następnie przechodzimy do zakładki [Więcej Opcji] i wybieramy opcję z samego dołu okienka [Oczyść], mieszczącą się w opisie [Przywracania Systemu]. Po takim sprzątaniu będziemy mieli pewność że w naszym komputerze nie ma już wirusa.
Powodzenia.