Sasser.웜 치료 방법
페이지 정보
본문
Sasser 웜 증상
- 윈도우 폴더에 avserve.exe 혹은 avserve2.exe, skynetave.exe 파일이 만들어 진다.
- TCP 445번 포트 접속 시도가 증가한다.
- TCP 1000번~2000번대와 5554번 포트가 LISTENING 상태로 된다.
- 윈도우시스템 폴더에 파일 이름이 숫자_up.exe로 된 다수의 파일이 만들어 진다.
- 감염 후 일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 느려진다.
- 보안패치가 안 된 시스템이 공격 패킷을 받을 경우 에러가 발생하며 시스템이 자동 종료 될 수 있다. 특히 윈XP 나 NT 계열, 2000,2003 을 통해 많이 퍼진다.
->안철수 백신으로 치료하기
V3 FirstBlock for Win32/Sasser.worm를 다운로드한다.
V3 FirstBlock for Win32/Sasser.worm 다운로드
->백신받기: http://download.ahnlab.com/vaccine/v3sasser.exe
color>
다운로드한 v3sasser.exe 파일을 실행하고 '검사시작' 버튼을 누른다. (공격 패킷은 실행과 동시에 차단되므로 별도의 조치는 하지 않아도 된다.)
* 만약 V3 FirstBlock for Win32/Sasser.worm 를 실행하기전에 공격을 받아 재부팅 메시지가 나온다면 랜 케이블을 잠시 뽑고 시스템이 재부팅 된 후 V3 FirstBlock for Win32/Sasser.worm 를 실행 하고 다시 랜 케이블을 연결한다.
V3 FirstBlock for Win32/Sasser.worm 가 실행된 상태에서 자신의 OS 에 맞는 MS04-011 패치파일을 다운로드하여 실행한다.
④ 시스템을 재부팅한다.
=============================
자료제공: 안철수 연구소
=============================
기타 다른 방법으로 치료및 해결방법들..
마이크로 소프트 보안패치 받는곳
=> http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
->기타 [해결방법]
보안패치 파일은 미리 준비해 주세요.
1. 컴퓨터를 종료합니다.
2. 인터넷(랜)을 차단합니다.
3. 안전모드로 시스템을 부팅합니다. (F8 -> Safe mode)
4. 다음의 3개의 키를 동시에 누릅니다.(Ctrl + Alt + Del)
5. 작업관리자(Task Manager)를 선택합니다.
6. 프로세스 탭을 선택합니다.
7. C:\\WINDOWS\\avserve.exe 파일과 C:\\WINDOWS\\system32\\*_up.exe 등의 파일을 강제종료합니다.
여기서 *_up.exe 는 임의의 숫자_up.exe 파일입니다.
8. 파일을 찾아 모두 삭제합니다.
C:\\WINDOWS\\avserve.exe
C:\\WINDOWS\\system32\\*_up.exe
9. 시작버튼 -> 실행 -> regedit
으로 레지스트리 편집기를 실행합니다.
10. 아래 경로로 찾아들어가서 등록된 avserve.exe 를 삭제합니다.
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
등록된 이름
"avserve.exe" = C:\\WINDOWS\\avserve.exe
- 윈도우 폴더에 avserve.exe 혹은 avserve2.exe, skynetave.exe 파일이 만들어 진다.
- TCP 445번 포트 접속 시도가 증가한다.
- TCP 1000번~2000번대와 5554번 포트가 LISTENING 상태로 된다.
- 윈도우시스템 폴더에 파일 이름이 숫자_up.exe로 된 다수의 파일이 만들어 진다.
- 감염 후 일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 느려진다.
- 보안패치가 안 된 시스템이 공격 패킷을 받을 경우 에러가 발생하며 시스템이 자동 종료 될 수 있다. 특히 윈XP 나 NT 계열, 2000,2003 을 통해 많이 퍼진다.
->안철수 백신으로 치료하기
V3 FirstBlock for Win32/Sasser.worm를 다운로드한다.
V3 FirstBlock for Win32/Sasser.worm 다운로드
->백신받기: http://download.ahnlab.com/vaccine/v3sasser.exe
color>
다운로드한 v3sasser.exe 파일을 실행하고 '검사시작' 버튼을 누른다. (공격 패킷은 실행과 동시에 차단되므로 별도의 조치는 하지 않아도 된다.)
* 만약 V3 FirstBlock for Win32/Sasser.worm 를 실행하기전에 공격을 받아 재부팅 메시지가 나온다면 랜 케이블을 잠시 뽑고 시스템이 재부팅 된 후 V3 FirstBlock for Win32/Sasser.worm 를 실행 하고 다시 랜 케이블을 연결한다.
V3 FirstBlock for Win32/Sasser.worm 가 실행된 상태에서 자신의 OS 에 맞는 MS04-011 패치파일을 다운로드하여 실행한다.
④ 시스템을 재부팅한다.
=============================
자료제공: 안철수 연구소
=============================
기타 다른 방법으로 치료및 해결방법들..
마이크로 소프트 보안패치 받는곳
=> http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
->기타 [해결방법]
보안패치 파일은 미리 준비해 주세요.
1. 컴퓨터를 종료합니다.
2. 인터넷(랜)을 차단합니다.
3. 안전모드로 시스템을 부팅합니다. (F8 -> Safe mode)
4. 다음의 3개의 키를 동시에 누릅니다.(Ctrl + Alt + Del)
5. 작업관리자(Task Manager)를 선택합니다.
6. 프로세스 탭을 선택합니다.
7. C:\\WINDOWS\\avserve.exe 파일과 C:\\WINDOWS\\system32\\*_up.exe 등의 파일을 강제종료합니다.
여기서 *_up.exe 는 임의의 숫자_up.exe 파일입니다.
8. 파일을 찾아 모두 삭제합니다.
C:\\WINDOWS\\avserve.exe
C:\\WINDOWS\\system32\\*_up.exe
9. 시작버튼 -> 실행 -> regedit
으로 레지스트리 편집기를 실행합니다.
10. 아래 경로로 찾아들어가서 등록된 avserve.exe 를 삭제합니다.
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
등록된 이름
"avserve.exe" = C:\\WINDOWS\\avserve.exe
댓글목록
등록된 댓글이 없습니다.
