W32.Sasser Removal Tool

Symantec Security Response ha reso disponibile uno strumento di rimozione per eliminare le infezioni causate dalle seguenti varianti del worm W32.Sasser:

• W32.Sasser.Worm
• W32.Sasser.B.Worm
• W32.Sasser.C.Worm
• W32.Sasser.D.Worm
• W32.Sasser.E.Worm
• W32.Sasser.G

La famiglia di worm W32.Sasser può essere eseguita sui computer Windows 95/98/Me senza però infettarli. Anche se i computer che utilizzano questi sistemi operativi non possono essere infettati, possono tuttavia infettare i computer vulnerabili ai quali si collegano. Se questo succede il worm utilizzerà una grande quantità di risorse e i programmi, compreso lo strumento di rimozione, non potranno funzionare correttamente. (Sui computer Windows 95/98/Me lo strumento funziona correttamente in modalità provvisoria).


Nota: L'esecuzione del worm provoca un errore di LSASS.EXE su alcuni sistemi in conseguenza del quale il sistema può riavviarsi. Lo strumento di rimozione potrà essere eseguito solo dopo che il sistema si sarà completamente riavviato.

Cosa fa lo strumento di rimozione

Lo strumento di rimozione per W32.Sasser effettua le seguenti operazioni:

1. Termina i processi virali di W32.Sasser.
2. Elimina i file di W32.Sasser.
3. Elimina le voci del Registro di sistema create dal worm.

Parametri della riga di comando utilizzabili con lo strumento di rimozione

Parametro	Descrizione
/HELP, /H, /?	Visualizza il messaggio di aiuto.
/NOFIXREG	Disattiva la riparazione del registro (l'uso di questo parametro è sconsigliato).
/SILENT, /S	Attiva la modalità invisibile.
/LOG=<nome percorso>	Crea un file di registro in cui <nome percorso> è la posizione su cui viene salvato il risultato dello strumento di rimozione. Per impostazione predefinita, il file di registro FxSasser.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.
/MAPPED	Esegue la scansione delle unità di rete mappate (l'uso di questo parametro è sconsigliato. Consultare la Nota seguente).
/START	Impone allo strumento di rimozione di avviare immediatamente una scansione.
/EXCLUDE=<percorso>	Esclude il <percorso> specificato dalla scansione (l'uso di questo parametro è sconsigliato. Consultare la Nota seguente).
/NOFILESCAN	Impedisce la scansione del file system.

---

Note: l'uso del parametro /MAPPED non garantisce la completa rimozione del virus sul computer remoto, per i motivi elencati di seguito.

• La scansione delle unità di rete viene effettuata solo sulle cartelle di rete. Ciò significa che non necessariamente tutte le cartelle presenti sul computer remoto vengono sottoposte a scansione, il che può comportare il mancato rilevamento di un'infezione.
• Se viene individuato un file infetto sull’unità di rete, ma tale file è utilizzato da un programma sul computer remoto, non sarà possibile eseguirne la rimozione.

---

Per tutti questi motivi si consiglia di eseguire lo strumento di rimozione su ogni singola macchina.

Il parametro /EXCLUDE funziona per un solo percorso e non per più percorsi. In alternativa utilizzare il parametro /NOFILESCAN seguito da una scansione manuale con AntiVirus. Ciò permetterà allo strumento di modificare il registro. Successivamente, eseguire una scansione del computer mediante AntiVirus con le definizioni dei virus aggiornate. Dopo aver completato questi passaggi, dovrebbe essere possibile ripulire il file system.

Di seguito viene indicata una riga di comando di esempio da utilizzare per escludere una singola unità:

>"C:\Documents and Settings\user1\Desktop\FxSasser.exe" /EXCLUDE=M:\ /LOG=c:\FxSasser.txt


In alternativa, la riga di comando riportata di seguito permette di saltare la scansione del file system riparando però le modifiche al registro. Eseguire quindi una scansione regolare del sistema con le appropriate esclusioni:

>"C:\Documents and Settings\user1\Desktop\FxSasser.exe" /NOFILESCAN /LOG=c:\FxSasser.txt

---

Note:

• Il simbolo maggiore di (>) non fa parte del percorso.
• Il file di registro può avere un nome qualsiasi a scelta. Il nome riportato viene indicato unicamente a titolo di esempio.

---

Come ottenere ed eseguire lo strumento

---

Nota: se lo si esegue su Windows NT 4.0, Windows 2000 o Windows XP è necessario accedere con privilegi di amministratore.

---

---

ATTENZIONE: Per gli amministratori di rete. Se MS Exchange 2000 Server è in esecuzione, si consiglia di escludere l'unità M dalla scansione eseguendo lo strumento dalla riga di comando con il parametro Exclude. Per ulteriori informazioni consultare il documento (in lingua inglese) del Knowledge Base Microsoft XADM: Do Not Back Up or Scan Exchange 2000 Drive M, numero 298924.

---

1. Scaricare il file FxSasser.exe da: http://securityresponse.symantec.com/avcenter/FxSasser.exe. Nota: La versione 1.0.1 (indicata nella barra del titolo della finestra di dialogo dello strumento di rimozione) fornisce supporto per W32.Sasser.B.Worm e W32.Sasser.Worm.
2. Salvare il file su una posizione di uso pratico, quale la cartella Downloads o il Desktop di Windows, oppure ancora su un supporto rimovibile che si sappia con certezza non essere infetto.
3. Per informazioni su come verificare l'autenticità della firma digitale, fare riferimento alla sezione "Firma digitale" di questo documento.
4. Chiudere tutti programmi in esecuzione prima di eseguire lo strumento.
5. Se si lavora in ambiente di rete o si dispone di una connessione permanente a Internet, scollegare il computer dalla rete e da Internet.
6. Se si utilizza Windows Me o Windows XP, disattivare Ripristino configurazione di sistema. Per informazioni, fare riferimento alla sezione "Opzione Ripristino configurazione di sistema in Windows Me/XP" di questo documento.
   
   Attenzione: se si utilizza Windows Me/XP consigliamo vivamente di non saltare questo passaggio.
   
7. Fare doppio clic sul file FxSasser.exe per avviare lo strumento di rimozione.
8. Fare clic su Start per avviare il processo e consentire l'esecuzione dello strumento.
9. Riavviare il computer.
10. Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni.
11. Se si utilizza Windows Me/XP, riattivare Ripristino configurazione di sistema.
12. Eseguire LiveUpdate per accertarsi di disporre delle definizioni dei virus più recenti.

Nota: È possibile che la procedura di rimozione fallisca se Ripristino configurazione di sistema di Windows Me/XP non viene disattivato come sopra indicato, poiché Windows impedisce la modifica di Ripristino configurazione di sistema da parte di programmi di terzi.

Al termine dell'esecuzione viene visualizzato un messaggio che indica se il computer è stato infettato da W32.Sasser. In caso di avvenuta rimozione del worm, vengono visualizzati i seguenti dati:

• Numero totale di file sottoposti a scansione
• Numero di file eliminati
• Numero di file riparati
• Numero di processi virali interrotti
• Numero di voci di registro riparate.

Firma digitale
FxSasser.exe dispone di una firma digitale. Symantec consiglia l'utilizzo di copie di FxSasser.exe scaricate esclusivamente dal sito Internet Symantec Security Response. Per controllare l'autenticità della firma digitale, procedere nel modo seguente:

1. Accedere a http://www.wmsoftware.com/free.htm.
2. Scaricare e salvare il file chktrust.exe nella stessa cartella in cui è stato salvato FxSasser.exe (ad esempio la cartella C:\Downloads).
3. In base al proprio sistema operativo, svolgere una delle seguenti operazioni:
   • Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS
   • Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi su Prompt dei comandi.
     
     
     
4. Accedere alla cartella in cui sono stati salvati FxSasser.exe e Chktrust.exe, quindi digitare: chktrust -i FxSasser.exe.
   
   Ad esempio, se il file si trova nella cartella C:\Downloads, digitare i seguenti comandi:
   
   cd\
   cd downloads
   chktrust -i FxSasser.exe
   
   Premere Invio dopo ciascun comando. Se la firma digitale è valida verrà visualizzato il seguente messaggio:
   
   "Installare ed eseguire "W32.Sasser Removal Tool", firmato il 05/02/2004 9:11 PM e distribuito da Symantec Corporation?"
   
   Nota
   • Se il computer non è impostato sul fuso orario americano della costa pacifica, la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
   • Se si utilizza l’ora legale, l’orario apparirà spostato in avanti esattamente di un’ora.
   • Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
     • Lo strumento in questione non proviene da Symantec: se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile eseguirlo.
     • Lo strumento in questione è di Symantec ed è legittimo: si è in precedenza dato istruzione al proprio sistema operativo di accettare sempre qualsiasi contenuto proveniente da Symantec. Per informazioni in merito e per fare apparire nuovamente la finestra di dialogo di conferma consultare il documento (in lingua inglese) Restoring the Publisher Authenticity confirmation dialog box.
       
5. Fare clic su Sì per chiudere la finestra di dialogo.
6. Digitare exit, quindi premere Invio per chiudere la sessione di MS-DOS.

Opzione Ripristino configurazione di sistema in Windows Me/XP
Si raccomanda agli utenti di Windows Me e Windows XP di disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Questa funzionalità, attivata per impostazione predefinita, viene utilizzata da Windows Me/XP per ripristinare sul computer file che sono stati danneggiati. Quando una macchina viene attaccata da un virus, un worm o un cavallo di Troia, è possibile che Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi sul computer.

Per impostazione predefinita Windows impedisce che Ripristino configurazione di sistema venga modificato da programmi esterni, compresi gli antivirus. Pertanto, i programmi antivirus o gli strumenti di rimozione non sono in grado di rimuovere alcun elemento dalla cartella Ripristino configurazione di sistema. Ripristino configurazione di sistema potrebbe quindi ripristinare un file infetto sul computer anche dopo che sono stati eliminati i file infetti da tutte le altre posizioni.

La scansione alla ricerca di virus potrebbe inoltre rilevare la minaccia nella cartella Ripristino configurazione di sistema anche dopo avere eseguito la rimozione del codice nocivo.


Per istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la documentazione di Windows o uno dei seguenti documenti:

• Come disattivare o attivare Ripristino configurazione di sistema in Windows Me
• Come disattivare o attivare Ripristino configurazione di sistema in Windows XP

Se si desiderano ulteriori informazioni o se non si intende disattivare Ripristino configurazione di sistema di Windows Me consultare il documento del Knowledge Base Microsoft Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," Article ID: Q263455.