蠕蟲移除方式.預防方式.
移除方式
1. 立刻更改 "SA" 帳號密碼,並取消Windows的 "Guest" 帳號。
2. 若您需要使用Windows的 "Guest" 帳號,則請立即更改密碼。
3. 凡主機已遭侵入,則須更改遭感染主機上之所有帳號密碼。因為「伺必達」蠕蟲會將所收集到的帳號資料寄到(可能是)蠕蟲作者的信箱。
4. 刪除下列registry keys:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetDDE\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetDDE\Start
HKEY_LOCAL_MACHINE\software\microsoft\mssqlserver\client\connectto\dsquery
5. 刪除下列蠕蟲檔案:
attrib -h %WinDir%\system32\drivers\services.exe
attrib -h %WinDir%\system32\sqlexec.js
attrib -h %WinDir%\system32\clemail.exe
attrib -h %WinDir%\system32\sqlprocess.js
attrib -h %WinDir%\system32\sqlinstall.bat
attrib -h %WinDir%\system32\sqldir.js
attrib -h %WinDir%\system32\run.js
attrib -h %WinDir%\system32\timer.dll
attrib -h %WinDir%\system32\samdump.dll
attrib -h %WinDir%\system32\pwdump2.exe
del %WinDir%\system32\drivers\services.exe
del %WinDir%\system32\sqlexec.js
del %WinDir%\system32\clemail.exe
del %WinDir%\system32\sqlprocess.js
del %WinDir%\system32\sqlinstall.bat
del %WinDir%\system32\sqldir.js
del %WinDir%\system32\run.js
del %WinDir%\system32\timer.dll
del %WinDir%\system32\samdump.dll
del %WinDir%\system32\pwdump2.exe
6. Unregister "timer.dll" ,以免被蠕蟲掃瞄及感染:
regsvr32 /u TIMER.DLL
預防方式
若您的MS SQL Server尚未遭致感染,建議採取以下方式阻絕「伺必達」蠕蟲的攻擊:
1. 更改MS SQL Server "SA" 帳號的預設密碼(空白),及執行「強烈的」密碼政策,以避免容易遭到「伺必達」蠕蟲或駭客侵入。
2. 下載Microdoft最新之Service Packs及Hotfixes。
另外,諮安科技亦建議您透過以下幾個方式,提升 貴單位之安全等級:
3. 另外新建管理者的帳號,而不要使用預設帳號(如:"SA")。
4. 安裝、使用應用程式時,不要使用其預設埠(如:MS SQL預設為1433)。
5. 記錄所有企圖存取已經「disable」的預設帳號連線。
6. 作業系統僅開啟所需之服務,避免因不當設定讓駭客「有機可趁」。這個部分,您可詢問 貴公司所委託之資訊安全顧問公司,討論相關之安全政策問題。
7. 系統管理者需隨時注意下載最新之修正程式,尤其是最常提供服務之HTTP、FTP、Mail、DNS。
8. 調整 貴單位的Mail Server設定,阻擋及刪除經常附夾病毒的檔案格式,如:.vbs、.bat、.exe、.pif及.src等。
參考網站
賽門鐵克網站:
http://securityresponse.symantec.com/avc...gispid.b.worm.html eEye網站:
http://www.eeye.com/html/Researc...L20020522.html Internet Storm Center:
http://www.inc...s.org 解決方法:
1. 電腦族如果收到sample.exe檔案,請直接刪除,勿開啟以免中毒。
2. 趨勢科技產品用戶請立即更新掃瞄引擎至5.20以上和病毒碼至161 / 961(含)以上,以偵測及清除此病毒。
3. 如果您有安裝eManager可以設定收到sample.exe檔案附件移除。
4. IIS 主機.請至微軟網站下載Service Pack , Windows NT 4 , Windows 2000 及其Patch (MS01-044), 您可以參考下列URL更新方式1.這個病毒會將您的磁碟機分享至網路上芳鄰, 請檢查是否開啟資訊分享,若是.請您關閉
5. 這個蠕蟲會利用 'Microsoft IE MIME Header Attachment Execution Vulnerability' 以便於執行e-mail夾帶的病毒,請連接至下列網站,立即更新Patch
http://www.microsoft.com/technet/s...n/MS01-020.asp http://www.cert.org/advis...01-06.html 6. 若您有IIS 主機 , 病毒也會攻擊 含有 'Microsoft Web Server Folder Traversal” 服務的主機. 請連接至下列網站,閱讀相關說明:
http://www.microsoft.com/technet/s...n/ms00-078.asp 立即更新Patch
http://www.microsoft.com/technet//...in/MS01-044.asp 我們會隨時更新病毒資訊.若您有此病毒的問題,請連結至趨勢科技網站(台灣http://www.trend.com.tw或美國
http://www.ant...s.com)去查閱相關資料
