您必須知道的 Sasser Worm 消息 與 MS04-011 相關的 W32.SASSER 病蟲 發佈日期：2004 年 5 月 1 日 本通告的內容為何？ Microsoft 已發覺一隻名為 W32.SASSER 的病蟲，目前正在網際網路上流竄。這隻病蟲利 用 4 月 13 日所發佈MS04-011 安全性更新中已修正的本地安全性授權子系統服務 (LSASS，Local Security Authority Subsystem Service) 之弱點來攻擊。 Microsoft 建議客戶應立即安裝 MS04-011 此更新程式 http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp 以保護自己的使用環境。 上星期，Microsoft 已主動通知客戶針對 4 月 13 日發佈之安全性更新的惡意程式碼， 它們會針對公告中提及的弱點加以攻擊。Microsoft 建議安裝 MS04-011 是保護自己使用 環境最佳的方案。 　 詳細技術資訊 Microsoft 已發覺一隻名為 W32.SASSER 的病蟲，目前正在網際網路上流竄。這隻病蟲利 用 4 月 13 日所發佈MS04-011 安全性更新中已修正的本地安全性授權子系統服務 (LSASS，Local Security Authority Subsystem Service) 之弱點來攻擊。 Microsoft 建議客戶立即安裝 MS04-011 此更新程式以保護自己的使用環境。 已啟用 Windows XP 網際網路防火牆 (TCP 連接埠 139) 功能則有助於封鎖已知的攻擊行 為。大部分的防火牆協力廠商預設也能阻擋已知的攻擊行為。 假如您已經感染 W32.SASSER 病蟲，請參考以下的緩和方案： 1.在工作站上啟用網際網路連線防火牆 (如何在 Windows XP 上啟用網際網路連線防火牆， 請參考知識庫文件 http://support.microsoft.com/default.aspx?scid=kb;zh-tw;283673) 或使用協力廠商防火牆 2.中斷與網際網路的連線 3.如果無法正常開機，請先開機至安全模式 4.使用工作管理員刪除以下程序： c:\WINDOWS\system32\*_up.exe avserve.exe 5.在硬碟裡搜尋以下檔案，並立即刪除： C:\WINDOWS\avserve.exe c:\WINDOWS\system32\*_up.exe 6.使用登錄檔編輯器移除以下機碼值： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "avserve.exe" = C:\WINDOWS\avserve.exe 7.連線至網際網路 8.連上 Windows Update 網站，點選 [掃描更新檔項目] 9.安裝重大更新與 Service Packs -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.85.19.110