
Kontaktinformationer Salg tlf.: +45 7080 8684 Support tlf.: +45 8740 7230 e-mail, adresser, fax og åbningstider Forside Produkter / Løsninger Atea produkter Atea Security Service Kursus oversigt Privat / hjemmebrug Priser McAfee McAfee løsninger McAfee Produkter DAT filer / SuperDAT-6058 Beta versioner / Beta DAT's Support Download licensversioner Download fra McAfee (Grant Nr.) McAfee.com Symantec Symantec Endpoint Protection Opstart & Licensing Portal Symantec kurser Trend Micro Trend Micro løsninger Trend Micro enterprise Trend Micro SMB Trend Micro konfigurator Trend Micro Gratis værktøjer Microsoft Forefront Licensiering Microsoft Forefront Download og beskrivelse Security Intelligence Report ScanSafe ScanSafe løsninger Anywhere+ ScanSafe login Barracuda Barracuda løsninger Websense Websense løsninger Imprivata Imprivata OneSign Download Gratis værktøj til rensning af virus Evaluering Gratis værktøjer / Free tools Services NyhedsService Sporing og rensning af virus Malware information Malware information Links Atea Microsoft Forefront Symantec Trend Micro	Information om sporing og rensning af W32/Sasser.worm Denne side beskriver hvordan W32/Sasser.worm inficerede systemer kan opspores i netværk. Siden vil løbende blive opdateret med relevant information. Vi modtager meget gerne feedback via email mcafee_support@ementor.dk eller på telefon 80 81 56 60. Microsoft information og update Microsoft Security Bulletin MS04-011 McAfee's information om W32/Sasser.worm Rensning af inficerede systemer Rensningen af et inficeret system bør udføres direkte lokalt på systemet. 1. Start det inficerede system 2. Download og kør rettelsen fra Microsoft for at lukke hullet: Microsoft information og update Microsoft Security Bulletin MS04-011 3. Download og kør McAfee Stinger for at fjerne denne virus. http://vil.nai.com/vil/stinger/ 4. Genstart 5. Gentag evt. punkt 3. Microsoft Sasser Removal Tool Microsoft har ligeledes frigivet et tool til at fjerne W32/Sasser.(A-E) fra inficerede systemer. Værktøjet kan hentes her Opsporing af sårbare systemer Foundstone har frigivet et værktøj til at scanne netværket med efter sårbere systemer. Værktøjet kan hentes her DSScan fra www.foundstone.com Opsporing af inficerede systemer Det kan være en uoverskuelig opgave at opspore de inficerede systemer i netværket. Det er dog muligt let at spore inficerede systemer ved at scanne efter en åben port TCP 9996 og TCP 5554 på alle systemer i netværket. Her er et link til et gratis portscanner program, som hurtigt kan konfigureres til at scanne alle systemer, og angive dem der har åbne porte, hvilket er en indikation på at et system er inficeret. Programmet kan let konfigureres til kun at scanne efter port 9996 og 5554, for herved at forøge scanningshastigheden. SuperScan kan gratis hentes her: SuperScan fra www.foundstone.com Information om opsætning af SuperScan version 4 kan findes her Bemærk denne vejledning angiver port 135, 445 og 4444. Disse skal udskiftes til 9996 og 5554 for at finde Sasser worm. Hvordan kan virus/orme af denne type stoppes i fremtiden? Det er nødvendigt at indføre procedurer således at alle systemer løbende opdateres med de vitale rettelser der frigives. Det er nødvendigt løbende at verificere at systemerne er opdateret med disse vitale rettelser. Det er ikke nok at bero på den beskyttelse en gateway firewall ud mod internettet giver. Der er mange "bagveje" en virus/orm kan komme ind på netværket via. Firewall beskyttelse på de enkelte systemer kan være en god løsning, og det vil blive fremtiden for at opnå den bedste beskyttelse. Intrusion detection systemer på de enkelte systemer eller/og centralt kan være en god løsning.

Information om sporing og rensning af W32/Sasser.worm

Denne side beskriver hvordan W32/Sasser.worm inficerede systemer kan opspores i netværk.

Siden vil løbende blive opdateret med relevant information. Vi modtager meget gerne feedback via email mcafee_support@ementor.dk eller på telefon 80 81 56 60.

Microsoft information og update Microsoft Security Bulletin MS04-011

McAfee's information om W32/Sasser.worm

Rensning af inficerede systemer

Rensningen af et inficeret system bør udføres direkte lokalt på systemet.

1. Start det inficerede system

2. Download og kør rettelsen fra Microsoft for at lukke hullet: Microsoft information og update Microsoft Security Bulletin MS04-011

3. Download og kør McAfee Stinger for at fjerne denne virus. http://vil.nai.com/vil/stinger/

4. Genstart

5. Gentag evt. punkt 3.

Microsoft Sasser Removal Tool

Microsoft har ligeledes frigivet et tool til at fjerne W32/Sasser.(A-E) fra inficerede systemer. Værktøjet kan hentes her

Opsporing af sårbare systemer
Foundstone har frigivet et værktøj til at scanne netværket med efter sårbere systemer. Værktøjet kan hentes her DSScan fra www.foundstone.com

Opsporing af inficerede systemer
Det kan være en uoverskuelig opgave at opspore de inficerede systemer i netværket. Det er dog muligt let at spore inficerede systemer ved at scanne efter en åben port TCP 9996 og TCP 5554 på alle systemer i netværket.
Her er et link til et gratis portscanner program, som hurtigt kan konfigureres til at scanne alle systemer, og angive dem der har åbne porte, hvilket er en indikation på at et system er inficeret. Programmet kan let konfigureres til kun at scanne efter port 9996 og 5554, for herved at forøge scanningshastigheden.

SuperScan kan gratis hentes her: SuperScan fra www.foundstone.com

Information om opsætning af SuperScan version 4 kan findes her
Bemærk denne vejledning angiver port 135, 445 og 4444. Disse skal udskiftes til 9996 og 5554 for at finde Sasser worm.

Hvordan kan virus/orme af denne type stoppes i fremtiden?
Det er nødvendigt at indføre procedurer således at alle systemer løbende opdateres med de vitale rettelser der frigives.
Det er nødvendigt løbende at verificere at systemerne er opdateret med disse vitale rettelser.
Det er ikke nok at bero på den beskyttelse en gateway firewall ud mod internettet giver. Der er mange "bagveje" en virus/orm kan komme ind på netværket via.
Firewall beskyttelse på de enkelte systemer kan være en god løsning, og det vil blive fremtiden for at opnå den bedste beskyttelse.
Intrusion detection systemer på de enkelte systemer eller/og centralt kan være en god løsning.