W32/Sasser

Þessi ormur dreifir sér ekki í tölvupósti heldur nýtir sér nýuppgötvaðan veikleika í Windows til að dreifa sér beint úr einni nettengdri tölvu í aðra

W32/Sasser.A byrjaði að dreifa sér snemma morguns þann 1. maí 2004 og var fljótlega uppgötvaður af veirusérfræðingum Friðriks Skúlasonar ehf. sem strax gáfu út veirugagnaskrár gegn orminum. Vegna þeirrar miklu útbreiðslu sem ormurinn hefur náð telst hann afar hættulegur. Síðan þá hafa komið í ljós þrjú ný afbrigði ormsins, W32/Sasser.B, W32/Sasser.C og W32/Sasser.D, sem hegða sér mjög líkt upprunalega orminum og hafa einnig verið gefnar út veirugagnaskrár gegn þeim.

W32/Sasser dreifir sér ekki í tölvupósti heldur smitar nettengdar tölvur beint, án þess að notandi aðhafist nokkuð. Þetta gerði einnig Msblast ormurinn sem olli miklum usla haustið 2003. Til að dreifa sér á þennan hátt nýtir ormurinn sér öryggisveilu sem Microsoft greindi frá þann 13. apríl í Microsoft Security Bulletin MS04-011. Ormurinn sýkir tölvur sem keyra á Windows 2000 og Windows XP stýrirkerfum.

Til að verja sig gegn þessu ormi skulu notendur fylgja skrefum 1 og 2 hér að neðan. Sé tölva sýkt nú þegar skulu notendur fylgja skrefum 1, 2, 3 og 4:

1. Uppfæra stýrikerfi sín með því að heimsækja uppfærslusíðu Microsoft.
2. Uppfæra veirugagnaskrár sínar og fullvissa sig um að þeir séu með nýjustu útgáfu Lykla-Péturs. Lykla-Pétur finnur W32/Sasser orminn með veirugagnaskrám dagsettum 1. maí eða seinna.
3. Til þess að fá frið til að fjarlægja orminn, verður að hreinsa hann úr minni. Haltu niðri 'Ctrl' og 'alt' og ýttu einu sinni á 'delete'. Task Manager glugginn birtist þá og úr honum skaltu velja 'Processes'. Úr 'Process' listanum skaltu leita eftir 'avserve.exe' eða 'skynetave.exe' og velja þann sem er til staðar. Þegar þú ert búinn að velja 'avserve.exe' eða 'skynetave.exe' skaltu smella á 'End process' og loka Task Manager glugganum. Nú hefur ormurinn verið fjarlægður úr minni en athugið að hann ræsist aftur þegar tölvan er endurræst nema hann sé hreinsaður út. Skannaðu tölvuna með Lykla-Pétri. Veiruvörnin mun finna og hreinsa W32/Sasser úr sýktu tölvunni. Til að ná sem bestum árangri, mælum við með því að nota skipanalínuskannann til að hreinsa tölvuna.
4. Ef tölva er þegar sýkt skal skanna með skipanalínuskannanum til að hreinsa út orminn.

Athugið að ef villuglugginn hér að neðan birtist má koma í veg fyrir að tölvan endurræsi sig með því að smella á Start, síðan Run og skrifa þar eftirfarandi texta:

     shutdown -a

Mikilvægt er að vera með eldvegg til að verjast árásum af netinu. Frekari upplýsingar um eldveggi hér. Windows XP býður einnig upp á innbyggðan eldvegg. Nákvæmar upplýsingar um það hvernig á að virkja eldvegginn í Windows XP hér.

Frekari upplýsingar og hreinsunarleiðbeiningar:

• "What You Should Know About the Sasser Worm" - upplýsingar og hreinsunarleiðbeiningar frá Microsoft.
• Microsoft Security Bulletin MS04-011 - tilkynning Microsoft um öryggisveiluna sem ormurinn nýtir sér.
• http://windowsupdate.microsoft.com - uppfærslusíða Microsoft.