Veja como se livrar do vírus Sasser

O verme Sasser espalha-se pela Web e tem produzido muitos estragos. Segundo a companhia de antivírus Panda Software, até ontem (domingo), 3,17% dos cerca de 600 milhões de PCs de todo o mundo foram atingidos pela praga. A empresa afirma que os países mais infectados são Honduras, Emirados Árabes Unidos, Panamá, Estônia e Taiwan.

O Sasser se aproveita de uma vulnerabilidade no Windows, provocando um estouro da pilha de memória (buffer overrun) que permite a execução remota de códigos e que um hacker obtenha controle total do sistema afetado.

Para se propagar, ele varre a Internet em busca de sistemas vulneráveis. Quando ele encontra, envia um pacote de dados cuja função é provocar o estouro da pilha no arquivo LSASS.exe.

O vírus cria então o arquivo de script CMD.FTP, que contém instruções para o PC infectado para baixar e executar uma cópia do verme de outro sistema remoto infectado, usando FTP ou a porta 5554 do TCP.

Como o vírus causa um estouro da pilha, ele trava o programa e faz o Windows ficar reiniciando.

Instruções para a remoção automática

Para remover automaticamente este verme, é possível usar ferramentas dos fabricantes de antivírus, disponíveis nos seguintes endereços:

Trend Micro Damage Cleanup

Sophos W32/Sasser removal tool

Panda PQREMOVE

McAfee Avert Stinger

Norton FxSasser.exe

Para que estas ferramentas funcionem nos sistemas Windows XP e Me, é preciso desabilitar o "System Restore", que evita que programas externos alterem o registro do Windows. Para saber como fazer isso, clique aqui.

Caso não dê certo, tente a remoção manual:

(atenção: as duas instruções a seguir só valem para sistemas com Windows NT, 2000 e XP. Para Win 95,98 e Me, clique aqui)

1. Identifique o programa maligno
2. Use seu antivírus (atualizado) para scanear o sistema inteiro
3. Anote o nome de todos os arquivos contaminados com o Worm_Sasser.B

Caso você não consiga usar seu antivírus, acesse um serviço online gratuito, como o Housecall, da Trend Micro.

Agora encerre o processo do vírus na memória. Para isso, você precisa do nome(s) do(s) arquivo(s) detectado anteriormente:

1. Abra o Gerenciador de Tarefas (Windows Task Manager), pressionando ao mesmo tempo as teclas CTRL+SHIFT+ESC e então na aba "Processos".
2. Na lista de programas em execução, localize o processo do vírus
3. Selecione um arquivo infectado e clique em "Finalizar processo". Faça isso com todos.
4. Para confirmar se o processo maligno foi terminado, feche o Gerenciador de Tarefa e abra-o novamente.

Reiniciando no Modo Seguro (Safe Mode), para Win 95, 98 e Me
Windows 95
1. Reinicie seu micro
2. Pressione F8 quando aparecer a mensagem "Iniciando Windows 95".
3. Escolha "Modo Seguro" no menu e dê enter

Windows 98/ME
1. Reinicie o micro
2. Pressione CTRL até o menu de inicialização do Windows 98 aparecer
3. Escolha "Modo Seguro" no menu e dê enter

Edite o Registro para evitar que o processo se inicie automaticamente
1. Abra o Editor do Registro. Para fazer isso, clique em Iniciar-Executar, digite Regedit e dê enter.
2. Na janela, do lado esquerdo, dê um duplo clique na seguinte chave:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. No lado direito, localize e apague a entrada ou entradas:
avserve2.exe = %Windows%\avserve2.exe
(%Windows% refere-se ao diretório do Windows, normalmente C:\Windows ou C:\WINNT).
4. Feche o Editor. Reinicie a máquina.

Agora, atualize seu Windows contra a brecha explorada pelo Sasser. Para isso, visite esta página da Microsoft e siga as intruções para baixar a correção (patch).
Veja como se livrar do vírus Sasser

Da Redação
Em São Paulo

O verme Sasser espalha-se pela Web e tem produzido muitos estragos. Segundo a companhia de antivírus Panda Software, até ontem (domingo), 3,17% dos cerca de 600 milhões de PCs de todo o mundo foram atingidos pela praga. A empresa afirma que os países mais infectados são Honduras, Emirados Árabes Unidos, Panamá, Estônia e Taiwan.

O Sasser se aproveita de uma vulnerabilidade no Windows, provocando um estouro da pilha de memória (buffer overrun) que permite a execução remota de códigos e que um hacker obtenha controle total do sistema afetado.

Para se propagar, ele varre a Internet em busca de sistemas vulneráveis. Quando ele encontra, envia um pacote de dados cuja função é provocar o estouro da pilha no arquivo LSASS.exe.

O vírus cria então o arquivo de script CMD.FTP, que contém instruções para o PC infectado para baixar e executar uma cópia do verme de outro sistema remoto infectado, usando FTP ou a porta 5554 do TCP.

Como o vírus causa um estouro da pilha, ele trava o programa e faz o Windows ficar reiniciando.

Instruções para a remoção automática

Para remover automaticamente este verme, é possível usar ferramentas dos fabricantes de antivírus, disponíveis nos seguintes endereços:

Trend Micro Damage Cleanup

Sophos W32/Sasser removal tool

Panda PQREMOVE

McAfee Avert Stinger

Norton FxSasser.exe

Para que estas ferramentas funcionem nos sistemas Windows XP e Me, é preciso desabilitar o "System Restore", que evita que programas externos alterem o registro do Windows. Para saber como fazer isso, clique aqui.

Caso não dê certo, tente a remoção manual:

(atenção: as duas instruções a seguir só valem para sistemas com Windows NT, 2000 e XP. Para Win 95,98 e Me, clique aqui)

1. Identifique o programa maligno
2. Use seu antivírus (atualizado) para scanear o sistema inteiro
3. Anote o nome de todos os arquivos contaminados com o Worm_Sasser.B

Caso você não consiga usar seu antivírus, acesse um serviço online gratuito, como o Housecall, da Trend Micro.

Agora encerre o processo do vírus na memória. Para isso, você precisa do nome(s) do(s) arquivo(s) detectado anteriormente:

1. Abra o Gerenciador de Tarefas (Windows Task Manager), pressionando ao mesmo tempo as teclas CTRL+SHIFT+ESC e então na aba "Processos".
2. Na lista de programas em execução, localize o processo do vírus
3. Selecione um arquivo infectado e clique em "Finalizar processo". Faça isso com todos.
4. Para confirmar se o processo maligno foi terminado, feche o Gerenciador de Tarefa e abra-o novamente.

Reiniciando no Modo Seguro (Safe Mode), para Win 95, 98 e Me
Windows 95
1. Reinicie seu micro
2. Pressione F8 quando aparecer a mensagem "Iniciando Windows 95".
3. Escolha "Modo Seguro" no menu e dê enter

Windows 98/ME
1. Reinicie o micro
2. Pressione CTRL até o menu de inicialização do Windows 98 aparecer
3. Escolha "Modo Seguro" no menu e dê enter

Edite o Registro para evitar que o processo se inicie automaticamente
1. Abra o Editor do Registro. Para fazer isso, clique em Iniciar-Executar, digite Regedit e dê enter.
2. Na janela, do lado esquerdo, dê um duplo clique na seguinte chave:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. No lado direito, localize e apague a entrada ou entradas:
avserve2.exe = %Windows%\avserve2.exe
(%Windows% refere-se ao diretório do Windows, normalmente C:\Windows ou C:\WINNT).
4. Feche o Editor. Reinicie a máquina.

Agora, atualize seu Windows contra a brecha explorada pelo Sasser. Para isso, visite esta página da Microsoft e siga as intruções para baixar a correção (patch).

Da Redação - Mundo Digital - UOL
Em São Paulo