آشنايي با كرم Sasser و راه مقابله با آن
ويروس هاي جديد داده اند. نقطه ضعفي كه Sasser از آن براي نفوذ به سيستم قرباني استفاده مي نمايد تحت اصلاحيه MS-04-011 اعلام و فايل هاي مورد نياز جهت اصلاح اين نقص در انواع ويندوز ها از سوي مايكروسافت عرضه شده است.
گونه هايي از كرم مزبور كه تاكنون شناخته شده اند سيستم هايي را كه با ويندوز 2000 و XP و Server 2003 كار ميكنند، مورد حمله قرار داده و با ويندوزهاي 98 و Me و NT كاري ندارند لازم به ذكر است تا به حال دو نوع A و B از آن منتشر گرديده است.ويروس ياد شده پس از شروع فعاليت فايل AVSERVE.EXE را در نوع A و فايل AVSERVE2.EXE را در نوع B خود در شاخه ويندوز و يك تعداد فايل در ...
شاخه Windows/system و يا Windows/system32 كپي مي نمايدكه نام اين فايلها به صورت xxxxx_up.exe است كه xxxxx يك عدد ? رقمي تصادفي مي باشد.
همچنين اين ويروس تغييراتي نيز در رجيستري قرباني اجرا مي نمايد و فايل LSASS.EXE ?كه از اجزاي اصلي ويندوز است? را crash نموده باعث نمايش پيغام خطايي درباره LSA Shell مي شود. بعضا سيستم به خودي خود shut down يا restart مي شود. كاربران از اين اخطار به عنوان اخطار Don't Send ياد مي كنند.
پنجره اي كه توسط اين اخطار ظاهر مي گردد به صورت زير مي باشد.
Remover ارائه شده توسط Symantec
Norton جهت چك كردن سيستمها و پاكسازي آنها برنامه زير را معرفي نموده است. آن را داونلود و سيستم خود را با اجراي آن چك نماييد. توجه نماييد اين عمل به تنهايي كافي نبوده و شما حتماً به اصلاحيه هاي مايكروسافت نياز داريد.
http://securityresponse.symantec.com/avcenter/FxSasser.exe
روش پاكسازي به صورت دستي
1- اينترنت را قطع نموده با كليك راست بر روي My Computer و انتخاب properties در بالاي صفحه System Restore را انتخاب و گزينه Turn Off System Restore را تيك زده سپس OK نماييد.
2- كامپيوتر را Reboot نموده آن را در حالت Safe Mode راه اندازي نماييد.پس از آن كليد هاي Ctrl+Alt+Delete را بگيريد در پنجره باز شده گزينه Task Manager را انتخاب و در بالاي صفحه وارد بخش Properties شويد. سرويس هاي AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر كدام جداگانه كليد End Process را بزنيد.
3-فايل هاي زير را توسط كليدهاي Shift+Del براي هميشه از سيستم خود پاك نماييد:
c:windowsavserve.exe
c:windowsavserve2.exe
c:windowssystemxxxxx_up.exe
c:windowssystem32xxxxx_up.exe
4- گزينه Run را با كليك كردن بر روي Start ويندوز انتخاب و دستور RegEdit را تايپ كرده و OK كنيد.
در شاخه:LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
كليد هاي "avserve.exe"="%Windir%avserve.exe" و "avserve2.exe"="%Windir%avserve2.exe" را Delete نماييد.
5- اكنون به اينترنت وصل شده Patch هاي مربوطه را داونلود و آن را Setup نماييد:
اصلاحيههاي مايكروسافت
بسته به نوع ويندوزتان چه به SASSER آلوده شده باشيد و چه از حمله آن در امان مانده باشيد بايد هر چه سريعتر اقدام به داونلود Patch هاي زير نموده و آنها را بر روي كامپوتر خود اجرا نماييد.
Windows XP : http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE
Windows 2000 : http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
همچنين همين امروز مايكروسافت براي كليه نسخه هاي ويندوز اقدام به ارائه يك اصلاحيه تحت عنوان Sasser Removal Tools نمود كه نحوه عمل آن اصلا شبيه يك Remover نيست. ولي به هر حال داونلود و اجراي آن نيز واجب است.
http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe