「WORM_SASSER」 杀手病毒危害等级升高，入侵防御公司Network Assocoates今(4)日宣布McAfee AVERT (防毒紧急响应小组) 发布W32/Sasser.worm.b 蠕虫为中度风险。趋势科技更将危险程度定为高度红色病毒警戒。

该公司指出，这只自我执行的蠕虫会攻击Microsoft Windows的弱点 [MS04-11 弱点 (CAN-2003-0533)]。该蠕虫透过avserve2.exe挡案形式散布，但与最近出现的蠕虫不同的是，该蠕虫并不透过电子邮件散布，即使用户不做任何事情也会受到感染或散布病毒 (藉由攻击微软操作系统漏洞)。该蠕虫会摇控受骇的计算机自动下载并执行危险的程序代码。由于在全球扩散的趋势逐渐升高，因此评定为中度风险。

该病毒的中毒征状是会将自己写入到Windows目录下的avserve2.exe，并建立下列机码以在计算机开机时加载自己：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run "avserve2.exe" = C:\WINDOWS\avserve2.exe

蠕虫会监听TCP 1068往后的埠，扫描其上的随机IP地址，它也会在TCP 埠5554上扮演FTP服务器，并会在TCP埠9996建立一个远程壳层。此外会在C:磁盘驱动器下建立一个win2.log的档案，里面记录受骇主机的IP地址。并会将自己写入到Windows目录下，名称使用 #_up.exe，如：

c:\WINDOWS\system32\11583_up.exe

c:\WINDOWS\system32\16913_up.exe

c:\WINDOWS\system32\29739_up.exe

此外可能会导致LSASS.EXE毁坏，而系统将自行重新启动。

防毒产品的用户应该立刻更新系统的DAT档，以防御可能的攻击。若想手动移除此一病毒，请依下列方式进行：

1. 重新启动到安全模式 (开机时按F8键)，然后由WINDOWS目录下删除AVSERVE2.EXE (一般为c:\windows\或c:\winnt\)。

2. 删除以下登录档的”avserve2”机码：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. 重新启动计算机至正常模式。

至于受到感染的系统，必须安装Microsoft发布的系统更新后才能完全关闭此弱点：

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx