Centro di Calcolo Elettronico "Attilio Villari"
- Sezione GARR -

Istruzioni per la rimozione del virus W32/Sasser.worm e per la protezione da un'ulteriore infezione

Nome

W32/Sasser.worm (denominazione Mcafee) o W32.Sasser.Worm (denominazione Symantec)

Cenni sulla modalità di infezione

W32.Sasser.worm, con le successive varianti, è un worm che aggredisce i pc con sistema operativo Microsoft Windows sfruttando una vulnerabilità del sistema operativo, descritta nel Bollettino Microsoft sulla sicurezza MS04-011, attraverso la porta TCP 445. Qualunque computer connesso ad internet può essere attaccato da altre macchine infette, indipendentemente dal tipo di attività svolta dall'utente. Il W32.Sasser.worm non si diffonde attraverso e-mail

Come rimuovere il virus

1. Scaricare il file programma stinger.exe dal sito della McAfee e salvarlo sul Desktop
   Attenzione: Accertarsi sempre di aver scaricato l'ultima versione del programma, per esser in grado di intercettare le versioni più recenti del virus.
   
   
2. Scaricare dal sito della Microsoft, e salvare sul Desktop, la patch necessaria per proteggere il computer da ulteriori infezioni da parte dello stesso virus. Tale patch è funzione della versione di Windows utilizzata:
   • Microsoft Windows NTŪ Workstation 4.0 Service Pack 6a
   • Microsoft Windows NT Server 4.0 Service Pack 6a
   • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
   • Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, and Microsoft Windows 2000 Service Pack 4
   • Microsoft Windows XP and Microsoft Windows XP Service Pack 1
   • Microsoft Windows XP 64-Bit Edition Service Pack 1
   • Microsoft Windows XP 64-Bit Edition Version 2003
   • Microsoft Windows Server™ 2003
   • Microsoft Windows Server 2003 64-Bit Edition
3. Disconnettere fisicamente il computer dalla rete, ovvero staccare il cavo di rete
4. Per i sistemi operativi Windows XP disabilitare il Ripristino del Sistema, seguendo le apposite istruzioni
   Attenzione: Nei sistemi operativi Windows XP la mancata esecuzione di questo passo può vanificare la procedura di disinfezione.
   
   
5. Chiudere tutti i programmi in esecuzione
6. Eseguire il file stinger.exe con un doppio click sull'icona

   

   Comparirà la relativa finestra

   

7. Cliccare sul pulsante Scan Now per avviare la disinfezione
   Attenzione: Se nel corso della disinfezione dovesse esser visualizzato un messaggio che notifica l'impossibilità di cancellare dei file infetti, riavviare il computer in modalità provvisoria e ripetere l'esecuzione del programma stinger.exe. Per riavviare il computer in modalità provvisoria è possibile consultare le istruzioni presenti presso il sito della Symantec
   
   
8. Riavviare normalmente il computer
9. Rieseguire dal punto 6. per verificare che il virus sia stato effettivamente rimosso
10. Applicare la patch precedentemente scaricata dal sito della Microsoft, eseguendo il relativo file con un doppio click del mouse e riavviando successivamente il computer
11. Per i sistemi operativi Windows XP abilitare nuovamente il Ripristino del Sistema
12. Riconnettere il computer alla rete

Per ulteriori informazioni

• Symantec Security Response - W32.Sasser.Worm
• Symantec Security Response - W32.Sasser.Worm removal tool
• McAfee Security - W32/Sasser.worm@MM Virus Advisory
• McAfee AVERT Stinger
• Sophos virus analysis: W32/Sasser-A
• Sophos: W32/Sasser disinfection instructions
• Microsoft Security Bulletin MS04-011