Удаление червя Jobaka aka Sasser

С форума "ДиалогНауки" - свежий опыт удаления этого виря:
(Оригинал: [url]http://www.dials.ru/forum/6619.shtml[/url] ) от Zakan:
1. ДокторВеб свежий, с позавчерашнего дня эту пакость лечит.
Даже шароварный, халявный.
[url]http://www.dials.ru/inf/vsearch.php?vname=Jobaka&x=6&y=12[/url]

А чтоб не повторилось:
2. Файрволл и закрыть 445, 5554, 9996 порты.
3. Говорят еще. Возможны затыки компа — выскакивает сообщение типа «неправильный логин»
Помогает: перезагрузиться и потом сразу набрать в окне «RUN» что-то вроде «shutdown -a» Но это по слухам, у меня так не было.

====================================================
Картинка работающего виря:
- Размер AVSERVE.EXE в памяти все время плывет.
Увеличивается так на 50 примерно кб в секунду.
И когда доходит до 40 мега, то компу тяжело. Тормозит.

- Этот AVSERVE.EXE и второй процесс, у которого имя с цифр начинается типа 12345_UP.EXE
УБИВАТЬ ИХ ТОЛЬКО ВМЕСТЕ ОБА СРАЗУ ПОБЫСТРЕЕ!
они похоже что друг друга СТРАХУЮТ в памяти.
Если один убить, другой его снова запускает.
Но проверяет видать каждые секунд несколько, так что есть время убить обоих!
=====================================================

Полезные ссылки:

Патч Микрософт, закрывающий дыру в lsass :
[url]http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx[/url]

Free утилиты для удаления. Полезны для лечения там, где не было антивируса:
- Утилита McAfee Avert Stinger (убивает много чего, добавлена и эта гадость).
[url]http://download.nai.com/products/mcafee-avert/stinger.exe[/url]
- Утилита Symantec от этого червя:
[url]http://securityresponse.symantec.com/avcenter/FxSasser.exe[/url]
(убивает процессы виря, удаляет его файлы, чистит реестр).

McAffee рекомендует такой порядок удаления вручную:
1. Перезагрузить систему в безопасном режиме (Hажать F8 при появлении
стартового текста Windows и выбрать "безопасный режим" - "Safe Mode")
2. Удалить файл AVSERVE.EXE из директории WINDOWS (обычно c:\windows или
c:\winnt)
3. Запустить regedit, удалить переменную "avserve" из
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Перезагрузить компьютер в нормальный режим.

Источник:
[url]http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125007[/url]

Worm.Win32.Sasser.b
[ 01.05.2004 20:03, GMT +03:00, Москва ]
Опасность : средняя

Вирус-червь.

Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:

[url]http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx[/url]

Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.

Размножение

При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.

Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N - случайное число.

[url]http://www.viruslist.com/alert.html?id=145080269[/url]

[b]Что делать, если компьютер перезагружается, не позволяя скачать обновление ?[/b]

Возможно, с первого раза не получится, поскольку у Вас будет около 20 секунд на выполнение пунктов 3 - 6.
1. Отключите компьютер от локальной сети / Интернет (можно отключить кабель).
2. Перезагрузите компьютер.
3. Как только Windows загрузится и Вы увидите рабочий стол, щелкните
"Пуск" - "Выполнить" (Start -> Run)
4. Введите:
cmd
и нажмите Enter.
5. В появившемся окне введите
shutdown -i
и нажмите Enter.
6. Откроется окно диалога удаленной перезагрузки, смените там
20 секунд на 9999 секунд и нажмите "ОК".

Теперь у Вас будет почти 3 часа до перезагрузки. После установки патча можно вернуть эти 20 секунд обратно.

[url]http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.c.worm.html[/url]

P.S. Правда, я не совсем понял, почему при такой спешке не ввести сразу в окне "Выполнить" команду "shutdown -i". Проверил - все срабатывает, правда, червь у меня в это время, конечно, ничего не перезагружает :).

На сегодняшний день известно уже 5 модификаций Sasser: A-F (Jobaka - Jobaka.5).
Общие - для заражения используется порт TCP 445 и дыра в LSASS (MS04-011).
Меняются имена файлов в %windir%, одноименные ключи в автозапуске реестра (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
и номера портов, открываемых для доступа извне после заражения
Sasser: avserve.exe, порты TCP/5554, TCP/9996
B - Avserve2.exe, TCP/5554, TCP/9996
C - avserve2.exe, TCP/5554, TCP/9996
D - skynetave.exe, TCP/5554, TCP/9995
E - lsasss.exe, TCP/1022, TCP/1023
F - napatch.exe, TCP/5554, TCP/9996