文章編號: 841720 - 上次校閱: 2011年5月12日 - 版次: 11.0

移除 Sasser 蠕蟲變種的工具

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
注意事項
這項工具已不再提供,改由 Microsoft Windows 惡意軟體移除工具取代。 如需有關「惡意軟體移除工具」的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
890830? (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體

在此頁中

全部展開 | 全部摺疊

結論

Microsoft 已經發行工具,可以協助您移除電腦上的 Sasser 蠕蟲變種。如果您是執行 Microsoft Windows 2000 Service Pack 2 (SP2) 或更新版本,或 Microsoft Windows XP 的 32 位元版本,Windows Update 網站和「自動更新」將會為您提供 Microsoft Sasser Worm Removal Tool 的 2.0 版本,以移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D 蠕毒感染。

Sasser Worm Removal Tool 的 4.0 版本能夠移除蠕蟲的 Sasser.A、Sasser.B、Sasser.C、Sasser.D 和 Sasser.E 變種,並且新增了移除蠕蟲 Sasser.F 變種的支援。您可以從「Microsoft 下載中心」取得 4.0 版本。
技術更新
  • 2005 年 2 月 8 日:Microsoft 已經以 Microsoft Windows 惡意軟體移除工具取代這項工具。 如需有關「惡意軟體移除工具」的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    890830? (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體
  • 2004 年 5 月 11 日:Microsoft 已經在「Microsoft 下載中心」發佈 Sasser Worm Removal Tool 的 4.0 版本。4.0 版本新增了可以偵測及移除蠕蟲 Sasser.F 變種的支援。
  • 2004 年 5 月 9 日:Microsoft 已經在「Microsoft 下載中心」發佈 Sasser Worm Removal Tool 的 3.0 版本。3.0 版本新增了可以偵測及移除蠕蟲 Sasser.E 變種的支援。
  • 2004 年 5 月 4 日:Microsoft 已經在「Microsoft 下載中心」和 Windows Update 網站發佈 Sasser Worm Removal Tool 的 2.0 版本。此版本可以用來偵測並移除蠕蟲的 Sasser.C 變種和 Sasser.D 變種。
  • 2004 年 5 月 1 日:Microsoft 已經在「Microsoft 下載中心」發佈 Sasser Worm Removal Tool 的 1.0 版本。此版本會偵測並移除 Sasser.A 蠕蟲和 Sasser.B 蠕蟲。
回此頁最上方

徵狀

當您在已經感染 Sasser 蠕蟲的電腦上安裝 835732 (MS04-011) 安全性更新之後,電腦可能會繼續在受影響的 Transmission Control Protocol (TCP) 連接埠上產生網路傳輸,嘗試將蠕蟲感染散播到其他有弱點的電腦。如果您的電腦感染了 Sasser 蠕蟲,可能會遭遇下列一或多個徵狀:
  • 您的電腦效能下降或網路連線速度變慢。
  • 可能出現含有 LSA Shell 文字的對話方塊。
  • 在沒有使用者輸入的情況下,電腦可能每隔幾分鐘就重新啟動。
或者,您可能不會看到任何感染的徵狀。例如,已經安裝 835732 安全性更新的電腦,即使受到蠕毒的感染,並持續散播蠕蟲到其他電腦,可能不會出現第二及第三個徵狀。

如需有關 835732 安全性更新的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx)
注意「本地安全性授權子系統服務」(Local Security Authority Subsystem Service,LSASS) 所提供的介面,可以用來管理本機安全性、網域驗證及 Active Directory 處理程序。LSASS 會針對用戶端和伺服器進行驗證,並且具有用於支援 Active Directory 公用程式的多種功能。
回此頁最上方

發生的原因

由於您的電腦感染了 Sasser 蠕蟲,因而發生了這個問題。請使用防火牆並安裝 835732 安全性更新,此外,您必須移除任何受感染電腦上的 Sasser 蠕蟲。防火牆和 835732 安全性更新可以防止您的電腦受到 Sasser 蠕蟲的感染。但是,在實作這些預防措施之前,您必須先採取行動,移除任何已存在的感染。

如需有關如何判斷您的電腦是否感染 Sasser 蠕蟲的詳細資訊,請造訪下列 Microsoft 網站:
回此頁最上方

解決方案

Microsoft 已經發行工具,可以從執行<適用於>一節所列一或多項產品的電腦上移除 Sasser 蠕蟲變種。

重要 Microsoft 建議您使用網際網路防火牆及最新的防毒程式,並且使您的 Windows 和程式保持在最新的狀態。

如需有關如何預防感染病毒,以及從病毒感染復原的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
129972? (http://support.microsoft.com/kb/129972/ ) 電腦病毒:說明、預防和修復
回此頁最上方

下載及安裝資訊

如果您的電腦感染了 Sasser 蠕蟲 A 至 D 變種的任何一種,請使用「自動更新」下載並安裝 Sasser Worm Removal Tool,或是造訪下列 Windows Update 網站,然後安裝 KB841720 重大更新。
http://update.microsoft.com/ (http://update.microsoft.com/)
發行日期:2004 年 5 月 4 日

如需有關「自動更新」的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
294871? (http://support.microsoft.com/kb/294871/ ) Windows 自動更新功能的說明
IT 系統管理員可以使用 Microsoft Software Update Services (SUS),來部署這個更新。如需有關 SUS 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx (http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx)
注意
  • Sasser Worm Removal Tool 無法在 Microsoft Windows NT 4.0、Windows 95、Windows 98、Windows 98 Second Edition、Windows Millennium Edition 或任何 Windows 64 位元版本的電腦上執行。
  • Sasser Worm Removal Tool 只提供 Windows 的英文 (美國) 版本。然而,您可以在任何 Windows 語言版本上執行英文 (美國) 版本工具。
  • 許多防毒公司也已經撰寫能夠移除 Sasser 蠕蟲的工具。大多數的最新防毒程式都可以移除這個蠕蟲。
回此頁最上方

發行資訊

Sasser Worm Removal Tool

摺疊此表格展開此表格
工具版本Sasscln.exe 版本已移除的蠕蟲支援的作業系統安裝程式檔案名稱散發位置 (日期)
1.01.0.150.0Sasser.A, Sasser.BWindows XP、Windows 2000Windows-KB841720-ENU.exeMicrosoft 下載中心 (2004 年 5 月 1 日)
2.01.0.152.0Sasser.A, Sasser.B, Sasser.C, Sasser.DWindows XP、Windows 2000Windows-KB841720-ENU-V2.exeMicrosoft 下載中心 (2004 年 5 月 4 日)、Windows Update
3.01.0.156.0Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.EWindows XP、Windows 2000Windows-KB841720-ENU-V3.exeMicrosoft 下載中心 (2004 年 5 月 9 日)
4.01.0.159.0Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E, Sasser.FWindows XP、Windows 2000Windows-KB841720-ENU-V4.exeMicrosoft 下載中心 (2004 年 5 月 11 日)

Sasser 蠕蟲變種

摺疊此表格展開此表格
蠕蟲 (發現日期)移除此蠕蟲的工具版本
Sasser.A (2004 年 4 月 30 日)1.0, 2.0, 3.0, 4.0
Sasser.B (2004 年 5 月 1 日)1.0, 2.0, 3.0, 4.0
Sasser.C (2004 年 5 月 1 日)2.0, 3.0, 4.0
Sasser.D (2004 年 5 月 2 日)2.0, 3.0, 4.0
Sasser.E (2004 年 5 月 8 日)3.0, 4.0
Sasser.F (2004 年 5 月 11 日)4.0

先決條件

使用 Sasser Worm Removal Tool 必須具備下列先決條件:
  • 您的電腦必須執行 Microsoft Windows 2000 SP2 或更新的版本,或 Windows XP 的 32 位元版本。
  • 您必須以電腦系統管理員或系統管理員群組成員的身份登入。
如需有關如何判斷電腦是否正在執行 32 位元或 64 位元版本 Windows XP 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827218? (http://support.microsoft.com/kb/827218/ ) HOW TO:Determine Whether Your Computer Is Running a 32-Bit Version or 64-Bit Version of Windows XP
如果未符合這些先決條件,就無法完成安裝,並且您會收到錯誤訊息。如需有關錯誤訊息的詳細資訊,請檢視下列記錄檔:
%Windir%\debug\sasscln.log
此外,您最好在執行 Sasser Worm Removal Tool 之前,先安裝 835732 (MS04-011) 安全性更新。移除工具的 4.0 版本可以移除受感染電腦上的蠕蟲,但是如果您的電腦仍有弱點存在,並不會防止電腦再次受到感染。您可以在執行移除工具之前,先安裝 835732 安全性更新,如此,就可以避免電腦再次受到蠕蟲的感染。

重新啟動需求

安裝此工具之後,您不必重新啟動電腦。
回此頁最上方

使用資訊

注意 執行下列步驟之前,請確定您已經備份所有的重要資料。

在您安裝 Sasser Worm Removal Tool 4.0 版,並接受使用者授權合約 (EULA) 之後,安裝套件就會將 Sasscln.exe 檔案解壓縮至暫存目錄,然後執行移除工具。移除工具會檢查您的電腦是否符合<先決條件>一節所列的需求。如果符合先決條件,移除工具就會執行下列操作:
  1. 搜尋記憶體中是否存有 Sasser.A 蠕蟲 (Avserve.exe)、Sasser.B 蠕蟲、Sasser.C 蠕蟲 (Avserve2.exe)、Sasser.D 蠕蟲 (Skynetave.exe)、Sasser.E 蠕蟲 (Lsasss.exe) 和 Sasser.F 蠕蟲 (Napatch.exe)。如果移除工具發現感染,就會結束蠕蟲的處理程序。
  2. 搜尋硬碟上是否存有已知 Sasser A 至 F 的可執行檔,以及登錄的 Run 機碼中是否存在與 Sasser 相關的項目。如果移除工具在硬碟上找到蠕蟲的可執行檔,就會刪除檔案並移除登錄項目。其他工具可能只會刪除硬碟上的蠕蟲檔案,而不會刪除登錄值。

    如果 Sasser 登錄值不再指向硬碟上的檔案,並且硬碟上的相關檔案已經不存在,移除工具就不會移除 orphaned 登錄值,因為登錄值將不會造成任何損害。
  3. 顯示 Windows 訊息方塊,以說明偵測及移除的結果。下列說明您可能收到的訊息,以及這些訊息所表示的意思:
    • No infection detected (未偵測到任何感染):此電腦上並未偵測到 Sasser 蠕蟲。
    • Successfully removed Worm_Name" – Worm_Name 已經移除,不需執行其他操作。

      注意 Worm_Name 代表 Sasser 變種 (A、B、C、D、E 或 F) 的其中一種。
    • This tool must be run by an administrator (系統管理員才能執行此工具)
    • Fatal error, please review log file (嚴重錯誤,請檢閱記錄檔)
    • "Worm_Name was detected, but could not be removed (偵測到 Worm_Name,但是無法移除):試著重新執行工具,並檢查記錄檔中的錯誤。
    • This tool requires Windows 2000 or Windows XP (此工具需要 Windows 2000 或 Windows XP):此工具不支援 Windows 2000 和 Windows XP 以外的 Windows 版本。
    • Incorrect Windows version (Win32s) (不正確的 Windows 版本 (Win32)):具有 Win32s 的 Windows 3.1 並不支援此工具。
    此外,如果工具發現您的電腦並未安裝 835732 (MS04-011) 安全性更新,您將會收到下列訊息:
    • To prevent infection, please visit Windows Update (www.windowsupdate.com (http://www.windowsupdate.com/) ) and install KB835732 (為了避免受到感染,請造訪 Windows Update 並安裝 KB835732):您必須安裝此更新,才能避免再次受到 Sasser 蠕蟲的感染。
    關閉訊息方塊之後,工具就會結束並從暫存資料夾中刪除 Sasscln.exe 檔案。現在,您可以手動刪除 Windows-KB841720-ENU-V4.exe 檔案。
  4. 移除工具會在 %Windir%\Debug 資料夾中建立名為 Sasscln.log 的記錄檔。您可以檢視此記錄檔,看看是否已經偵測到並移除了 Sasser 感染。

命令列參數

移除工具安裝程式支援下列命令列參數:
  • /Q - 解壓縮檔案時,指定無訊息模式或隱藏訊息。
  • /Q:U - 指定使用者無訊息模式。使用者無訊息模式會對使用者顯示一些對話方塊。
  • /Q:A - 指定系統管理員無訊息模式。系統管理員無訊息模式不會對使用者顯示任何對話方塊。
  • /T: path - 指定安裝程式所使用之暫存資料夾的位置,或指定檔案解壓縮的目標資料夾 (如果是和 /C 參數搭配使用)。
  • /C - 解壓縮檔案,但不進行安裝。如果未指定 /T: path,系統會提示您指定目標資料夾。
  • /C: cmd – 指定另一個安裝程式 .inf 檔或 .exe 檔的路徑和名稱,以安裝工具。
  • /R:N - 安裝之後一律不重新啟動電腦。
  • /R:I - 如果需要重新啟動,就提示使用者重新啟動電腦,但是搭配 /Q:A 參數使用時,則不重新啟動。
  • /R:A - 安裝之後,一律重新啟動電腦。
  • /R:S - 安裝之後重新啟動電腦,不提示使用者。
如需有關受支援安裝參數的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
197147? (http://support.microsoft.com/kb/197147/ ) IExpress 軟體更新套件的命令列參數
此移除工具支援下列命令列參數:
  • /S - 啟用工具的無訊息模式。此參數會隱藏執行工具之後您所收到的感染狀態對話方塊。

移除資訊

移除工具執行完成之後,就會自動從暫存位置刪除 Sasscln.exe 檔。安裝移除工具之後,您就可以刪除工具的安裝程式套件。

注意 安裝 Sasser Worm Removal Tool (KB841720) 之後,此工具並不會出現在「控制台」中「新增/移除程式」工具的 [目前安裝的程式] 清單中。
回此頁最上方

其他相關資訊

常見問題集

  • 問 1:這個工具可以保護我的電腦不會受到 Sasser 蠕蟲的感染嗎?

    答 1:不會,這個工具會移除受感染電腦上的 Sasser 蠕蟲。如果要防止受到蠕蟲,您必須安裝 835732 安全性更新。
  • 問 2:這個工具會移除何種 Sasser 蠕蟲的變種?

    答 2:這個工具會移除 Sasser.A、Sasser.B、Sasser.C、Sasser.D、Sasser.E 和 Sasser.F。
  • 問 3:這個工具如何運作?

    答 3:這個工具是以 IExpress 安裝套件 (Windows-KB841720-ENU-V4.exe) 方式提供。執行安裝程式時,套件會將 Sasscln.exe 檔案解壓縮至暫存目錄,然後執行移除工具。Sasscln.exe 3.0 會移除電腦上存有的任何 Sasser A、Sasser.B、Sasser.C、Sasser.D、Sasser.E 和 Sasser.F 蠕蟲副本。移除工具執行這些操作之後,您會收到狀態對話方塊,接著移除工具就會關閉。暫存資料夾中的 Sasscln.exe 檔案會自動地加以刪除,並且您可以手動刪除安裝程式套件。如需有關 IExpress 安裝套件的詳細資訊,請造訪下列 Microsoft 網站:
    http://www.microsoft.com/windows/ieak/techinfo/deploy/60/en/iexpress.htm (http://www.microsoft.com/windows/ieak/techinfo/deploy/60/en/iexpress.htm)
  • 問 4:我可以向其他人轉散佈 Sasser Worm Removal Tool 嗎?

    答 4:不可以。所有的客戶都必須從 Microsoft 網站下載 Sasser Worm Removal Tool (Windows-KB841720-ENU-V4.exe)。
  • 問 5:我可以向其他人轉散佈 Sasscln.exe 檔嗎?

    答 5:不可以。Microsoft 並不支援轉散佈 Sasscln.exe 檔。
  • 問 6:這個工具有經過 Microsoft 數位簽署嗎?

    答 6:是的。安裝程式套件和 Sasscln.exe 檔案都經過 Microsoft 數位簽署。
  • 問 7:我要如何執行這個工具?

    答 7:請參閱<下載及安裝資訊>一節。
  • 問 8:如何知道這個工具已經移除 Sasser 蠕蟲?

    答 8:執行移除工具之後,您將會看到結果對話方塊。此外,您可以檢閱 Sasscln.log 記錄檔的下列項目:
    • NoWorm_Name infection found (未發現 Worm_Name 感染) 表示找不到蠕毒感染。
    • "Worm_Name found and removed (發現 Worm_Name 並加以移除) 表示 Worm_Name 蠕蟲已經被找到並且移除了。
    • "Worm_Name found and will be removed at next reboot (發現 Worm_Name,並且將在下次重新啟動時加以移除) 表示 Worm_Name 蠕蟲已經找到,並且將在重新啟動電腦時,加以移除。
  • 問 9:這個工具有 Microsoft Windows Installer (.msi) 套件嗎?

    答 9:沒有,這個工具使用 IExpress 套件做為執行方式。
  • 問 10:可以移除這個工具嗎 (解除安裝)?

    答 10:可以。請參閱<移除資訊>一節。
  • 問 11:Microsoft 會發行這個工具的其他語言版本嗎?

    答 11:目前只發行英文 (美國) 版本。
  • 問 12:我的電腦是執行 Windows XP 的 64 位元版本,可以安裝這個工具嗎?

    答 12:不可以。這個工具目前只支援 32 位元作業系統。
  • 問 13:我已經執行防毒軟體廠商所提供的 Sasser 移除工具,或已經擁有最新版的防毒程式。還需要安裝這個工具嗎?

    答 13:一般來說並不需要,防毒軟體廠商所提供的移除工具可以移除任何的 Sasser 蠕蟲感染。但是,在未受感染的電腦上安裝 Sasser Worm Removal Tool 應該不會有任何負面影響。
  • 問 14:這個工具會收集電腦中的資訊並傳送給 Microsoft 嗎?

    答 14:安裝或執行這個工具時,並不會將任何資訊傳送給 Microsoft。
  • 問 15:如果這個工具無法移除電腦上的 Sasser 蠕蟲,我必須採取什麼行動?

    答 15:請在電腦上執行最新版的防毒程式。
  • 問 16:這個工具會建立記錄檔,讓我知道是否發現或移除蠕毒感染嗎?如果有的話,記錄檔名稱叫什麼?記錄檔會放在哪兒?

    答 16:請參閱<使用資訊>一節。
  • 問 17:如何知道這個工具已經在電腦上執行完成?

    答 17:在您按一下 [OK],以確認工具的執行輸出之後,工具已經在電腦上執行完成。如果要檢查結果,請檢閱 Sasscln.log 記錄檔。如需詳細資訊,請參閱<使用資訊>一節。
  • 問 18:我可以在網路的遠端電腦中執行這個工具嗎?

    答 18:不可以。
  • 問 19:我可以搭配安裝程式套件使用哪些命令列參數?

    答 19:請參閱<命令列參數>一節。
  • 問 20:可以使用這個工具取代防毒軟體產品嗎?
  • 答 20:不可以。Microsoft 建議您安裝並使用最新版的防毒程式。
  • 問 21:我的防毒程式會干擾這個工具嗎?

    答 21:執行移除工具時,如果您的防毒程式是在受感染的電腦上執行,防毒程式可能會偵測到 Sasser 蠕蟲,並且阻止移除工具移除 Sasser 蠕蟲。在這種情況下,您可以使用防毒程式移除 Sasser 蠕蟲感染。

    注意 Sasscln.exe 檔沒有包含病毒或蠕蟲。因此,單單執行這個工具,並不會觸發您的防毒程式。但是,如果在安裝最新的防毒程式及停用排程 (或背景) 病毒掃描之前,電腦就已經感染 Sasser 蠕蟲,那麼在 Sasser Worm Removal Tool 嘗試移除蠕蟲之前,您的防毒程式可能都不會偵測到蠕蟲。

    除了這種情況之外,Sasser Worm Removal Tool 不會干擾您的防毒程式,或發生衝突。安裝這個工具時,您不需要停用或移除防毒程式。
  • 問 22:這個工具如何與 Windows XP 中的「系統還原」功能一同運作?

    答 22:這個工具不會建立系統還原點。
  • 問 23:我可以使用 Microsoft Baseline Security Analyzer (MBSA) 來識別哪些電腦需要這個工具嗎?

    答 23:不可以,但是您可以使用 MBSA,來判斷電腦是否已經安裝 835732 安全性更新,不過,MBSA 無法識別哪些電腦已經受到 Sasser 蠕蟲的感染。
  • 問 24:我必須具備何種使用者權限和其他先決條件,才能執行這個工具?

    答 24:請參閱<先決條件>一節。
  • 問 25:這個工具會包含在 Windows XP Service Pack 2 中嗎?

    答 25:不會。
  • 問 26:可以透過 Microsoft Systems Management Server 和其他系統管理軟體部署此更新嗎?

    答 26:可以。但是,如果要實作任何大型部署作業,在您將更新擴充至整個公司之前,請先在數部電腦上測試工具的安裝和移除作業。您可以使用下列單一命令,在無訊息模式中執行安裝程式套件及工具:
    Windows-KB841720-ENU-V4.exe /Q /C:"sasscln.exe /S"
  • 問 27:「自動更新」並未在我的電腦上安裝 KB841720 重大更新。此外,當我造訪 Windows Update 並掃描可用的更新時,卻沒有 KB841720 重大更新可以安裝。為什麼?

    答 27:如果要讓 Windows Update 及「自動更新」搜尋到可用的 KB841720 重大更新,您的電腦必須符合本文<先決條件>一節中所描述的需求。

    此外,如果您的電腦沒有受到 Sasser 蠕蟲的感染,就無法透過 Windows Update 或「自動更新」搜尋 KB841720 重大更新。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional
回此頁最上方
關鍵字:?
atdownload kbvirus KB841720
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。