|
Veja como se livrar do vírus
Sasser
Da Redação
Em São Paulo
O verme Sasser espalha-se pela Web e tem produzido muitos
estragos. Segundo a companhia de antivírus Panda Software, até
ontem (domingo), 3,17% dos cerca de 600 milhões de PCs de todo o
mundo foram atingidos pela praga. A empresa afirma que os países
mais infectados são Honduras, Emirados Árabes Unidos, Panamá,
Estônia e Taiwan.
O Sasser se aproveita de uma vulnerabilidade no Windows,
provocando um estouro da pilha de memória (buffer overrun) que
permite a execução remota de códigos e que um hacker obtenha
controle total do sistema afetado.
Para se propagar, ele varre a Internet em busca de sistemas vulneráveis.
Quando ele encontra, envia um pacote de dados cuja função é
provocar o estouro da pilha no arquivo LSASS.exe.
O vírus cria então o arquivo de script CMD.FTP, que contém
instruções para o PC infectado para baixar e executar uma cópia
do verme de outro sistema remoto infectado, usando FTP ou a porta
5554 do TCP.
Como o vírus causa um estouro da pilha, ele trava o programa e
faz o Windows ficar reiniciando.
Instruções para a remoção automática
Para remover automaticamente este verme, é possível usar
ferramentas dos fabricantes de antivírus, disponíveis nos
seguintes endereços:
- Trend
Micro Damage Cleanup
- Sophos
W32/Sasser removal tool
- Panda
PQREMOVE
- McAfee
Avert Stinger
- Norton
FxSasser.exe
Para que estas ferramentas funcionem nos sistemas Windows XP e
Me, é preciso desabilitar o "System Restore", que
evita que programas externos alterem o registro do Windows.
Para saber como fazer isso, clique
aqui.
Caso não dê certo, tente a remoção manual:
(atenção: as duas instruções a seguir só valem para
sistemas com Windows NT, 2000 e XP. Para Win 95,98 e Me, clique
aqui)
1. Identifique o programa maligno
2. Use seu antivírus (atualizado) para scanear o sistema
inteiro
3. Anote o nome de todos os arquivos contaminados com o
Worm_Sasser.B
Caso você não consiga usar seu antivírus, acesse um
serviço online gratuito, como o Housecall,
da Trend Micro.
Agora encerre o processo do vírus na memória. Para isso, você
precisa do nome(s) do(s) arquivo(s) detectado anteriormente:
1. Abra o Gerenciador de Tarefas (Windows Task Manager),
pressionando ao mesmo tempo as teclas CTRL+SHIFT+ESC e então
na aba "Processos".
2. Na lista de programas em execução, localize o processo do
vírus
3. Selecione um arquivo infectado e clique em "Finalizar
processo". Faça isso com todos.
4. Para confirmar se o processo maligno foi terminado, feche o
Gerenciador de Tarefa e abra-o novamente.
Reiniciando no Modo Seguro (Safe Mode), para
Win 95, 98 e Me
Windows 95
1. Reinicie seu micro
2. Pressione F8 quando aparecer a mensagem "Iniciando
Windows 95".
3. Escolha "Modo Seguro" no menu e dê enter
Windows 98/ME
1. Reinicie o micro
2. Pressione CTRL até o menu de inicialização do Windows 98
aparecer
3. Escolha "Modo Seguro" no menu e dê enter
Edite o Registro para evitar que o processo se inicie
automaticamente
1. Abra o Editor do Registro. Para fazer isso, clique em
Iniciar-Executar, digite Regedit e dê enter.
2. Na janela, do lado esquerdo, dê um duplo clique na
seguinte chave:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. No lado direito, localize e apague a entrada ou entradas:
avserve2.exe = %Windows%\avserve2.exe
(%Windows% refere-se ao diretório do Windows, normalmente
C:\Windows ou C:\WINNT).
4. Feche o Editor. Reinicie a máquina.
Agora, atualize seu Windows contra a brecha explorada pelo
Sasser. Para isso, visite esta
página da Microsoft e siga as intruções para baixar a
correção (patch).
|
|
|
