Rilevato: 1 de Maggio de 2004
Aggiornato: 13 de Febbraio de 2007 12:24:13 PM
Conosciuto anche come: WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Tipo: Worm
Lunghezza dell’infezione: 15872 bytes
Sistemi operativi minacciati: Windows 2000, Windows XP
Prima di iniziare:
Se si utilizza Windows 2000 or XP e non si è ancora eseguito l'aggiornamento per la vulnerabilità descritta nel Microsoft Security Bulletin MS04-011
è necessario effettuare l'operazione di aggiornamento per impedire che il computer continui ad essere infettato.
Cosa fare nel caso che il computer si arresti prima di poter eseguire l'aggiornamento o ottenere lo strumento
Questa minaccia provoca l'arresto e il riavvio continuo di Windows impedendo così l'installazione dell'aggiornamento Microsoft o il download dello strumento descritto di seguito. Per impedire l'arresto del sistema attenersi alle istruzioni seguenti. (Può essere necessario effettuare questa operazione diverse volte in quanto sono disponibili soltanto 20 secondi per compiere i passi da 3 a 6). (Questa operazione non funziona su Windows 2000).
- Disconnettere il computer dalla connessione di rete o da Internet. (Se necessario disconnettere il cavo).
- Riavviare il computer.
- Non appena il sistema si avvia e viene visualizzato il desktop di Windows, fare clic su Start > Esegui.
- Digitare:
cmd
quindi premere Invio.
- Digitare:
shutdown -i
quindi premere Invio.
- Nella finestra di dialogo Arresto remoto visualizzata, effettuare le operazioni seguenti:
Fare clic su Aggiungi e digitare il nome del computer nelal finestra visualizzata, quindi fare clic su OK. Nel campo "Mostra avviso per <numero di secondi> , digitare 9999 al posto del valore predefinito 20.
Digitare un messaggio qualsiasi nella casella Commenti.
Fare clic su OK.
- Riconnettersi alla connessione di rete o ad Internet.
- Connettersi ad Internet e prelevare l'aggiornamento. Continuare con i passaggi descritti di seguito.
In questo modo si hanno a disposizione circa tre ore per eseguire l'installazione dell'aggiornamento, aggiornare le definizioni dei virus ed eseguire tutte le operazioni necessarie.
Una volta eseguito l'aggiornamento e rimosso la minaccia, è possibile riabilitare l'impostazione dell'avviso a 20 secondi se lo si desidera.
Rimozione mediante lo strumento di rimozione per W32. Sasser
Symantec Security Response ha sviluppato
uno strumento di rimozione per rimuovere le infezioni causate da W32.Sasser.B.Worm. Si tratta del metodo più semplice per eliminare questa minaccia e dovrebbe essere provato per primo.
Rimozione manuale
Le presenti istruzioni sono valide per tutti gli antivirus Symantec più recenti, compresi i prodotti delle linee Symantec AntiVirus e Norton AntiVirus.
- Interrompere il processo del worm.
- Disattivare Ripristino configurazione di sistema (Windows Me/XP).
- Aggiornare le definizioni dei virus.
- Eseguire una scansione completa del sistema ed eliminare tutti i file rilevati come W32.Sasser.B.Worm.
- Annullare la modifica apportata al Registro di sistema.
Per dettagli su ciascuno di questi passaggi, leggere le seguenti istruzioni.
1. Interruzione del processo del worm
Per interrompere il processo del worm:
- Premere Ctrl+Alt+Canc una volta sola.
- Selezionare Task Manager.
- Fare clic sulla scheda Processi.
- Per disporre le voci dell'elenco dei processi in ordine alfabetico, fare doppio clic sull'intestazione della colonna Nome immagine.
- Scorrere l'elenco ed individuare i seguenti processi:
- avserve2.exe
- qualsiasi processo con un nome costituito da 4 o 5 cifre seguite da _up.exe (ad es. 74354_up.exe).
- Se si trova un processo di questo tipo, fare clic su di esso e poi su Termina processo.
- Chiudere Task Manager.
2. Disattivazione di Ripristino configurazione di sistema (Windows Me/XP)
Se si utilizza Windows Me o Windows XP, disattivare temporaneamente Ripristino configurazione di sistema. Questa funzionalità, attivata per impostazione predefinita, viene utilizzata da Windows Me/XP per ripristinare sul computer file che sono stati danneggiati. Quando una macchina viene attaccata da un virus, un worm o un cavallo di Troia, è possibile che Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi sul computer.
Per impostazione predefinita Windows impedisce che Ripristino configurazione di sistema venga modificato da programmi esterni, compresi gli antivirus. Pertanto, i programmi antivirus o gli strumenti di rimozione non sono in grado di rimuovere alcun elemento dalla cartella Ripristino configurazione di sistema. Ripristino configurazione di sistema potrebbe quindi ripristinare un file infetto sul computer anche dopo che sono stati eliminati i file infetti da tutte le altre posizioni.
La scansione alla ricerca di virus potrebbe inoltre rilevare la minaccia nella cartella Ripristino configurazione di sistema anche dopo avere eseguito la rimozione del codice nocivo.
Per istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti documenti:
Nota: Al termine della procedura di rimozione, quando si è certi di avere rimosso la minaccia virale, riattivare Ripristino configurazione di sistema seguendo le istruzioni contenute nei documenti precedentemente indicati.
Se si desiderano ulteriori informazioni o se non si intende disattivare Ripristino configurazione di sistema di Windows Me consultare il documento del Knowledge Base Microsoft Impossibile ripulire i file infetti nella cartella _Restore con lo strumento antivirus, numero: Q263455.
3. Aggiornamento delle definizioni dei virus
Symantec Security Response esegue controlli e test accurati sulla qualità delle definizioni dei virus prima di renderli disponibili sui server Symantec. È possibile ottenere le definizioni dei virus più aggiornate in due modi:
- Il metodo più semplice per ottenere le definizioni dei virus è tramite LiveUpdate. Tali definizioni vengono pubblicate sui server di LiveUpdate una volta la settimana (normalmente di mercoledì), tranne in caso di epidemie virali di particolare rilevanza. Per verificare se sono disponibili definizioni per LiveUpdate contro tale minaccia, controllare la riga Definizioni dei virus (LiveUpdate).
- Scaricare le definizioni mediante Intelligent Updater. Le definizioni dei virus per Intelligent Updater vengono pubblicate quotidianamente, nei giorni lavorativi statunitensi (dal lunedì al venerdì). Tali definizioni devono essere scaricate e installate manualmente dal sito Internet di Symantec Security Response. Per verificare se sono disponibili definizioni per Intelligent Updater contro tale minaccia, controllare la riga Definizioni dei virus (Intelligent Updater).
4. Scansione e rimozione dei file infetti
- Avviare il proprio antivirus Symantec e accertarsi che sia configurato per sottoporre a scansione tutti i file.
- Eseguire una scansione completa del sistema.
- Se vengono rilevati file infetti da W32.Sasser.B.Worm@mm, fare clic su Elimina.
5. Annullamento delle modifiche apportate dal worm al registro di configurazione e riavvio del computer
ATTENZIONE: Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le chiavi specificate. A questo proposito, consultare il documento
Come eseguire il backup del Registro di sistema di Windows.
- Fare clic su Start, quindi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
- Digitare regedit
Fare clic su OK. (Si apre l'Editor del Registro di sistema).
- Individuare la chiave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- Eliminare il seguente valore nel riquadro di destra:
"avserve2.exe"="%Windir%\avserve2.exe"
- Uscire dall'Editor del Registro di sistema.
Documento di: Heather Shannon
Technorati
Facebook
MySpace
LinkedIn
OKNOtizie
Segnalo
Buzz
Wikio
Digg
Delicious