Make your own free website on Tripod.com

         اين blaster نيست..

 
 

كرم اينترنتي Sasser از بعد از ظهر پنج شنبه ۱۰ ارديبهشت رايانه هايي را كه با سيستم عاملهاي مايكروسافت كار مي كنند هدف حملات خود قرار داده است. اين كرم با خصوصيات شبيه Blaster از طريق ايميل منتشر نشده و هيچ نيازي به دخالت و اقدام كاربر جهت گسترش خود ندارد بلكه با پيدا كردن منافذ امنيتي ويندوز و ارسال فرمان به كامپيوتر قرباني آن را وادار به داونلود و اجراي فايل آلوده به ويروس مي نمايد. بدون آنكه كاربر كوچكترين آگاهي از اين عمل داشته باشد.
شيوع كرم ياد شده در حالي انجام مي گردد كه متخصصين مايكروسافت در روزهاي گذشته هشدارهاي جدي درباره ظهور ويروس هاي جديد داده اند. نقطه ضعفي كه Sasser از آن براي نفوذ به سيستم قرباني استفاده مي نمايد تحت اصلاحيه MS-04-011 اعلام و فايل هاي مورد نياز جهت اصلاح اين نقص در انواع ويندوز ها از سوي مايكروسافت عرضه شده است.
گونه هايي از كرم مزبور كه تاكنون شناخته شده اند سيستم هايي را كه با ويندوز ۲۰۰۰ و XP و Server 2003 كار مي كنند مورد حمله قرار داده و با ويندوزهاي 98 و Me و NT كاري ندارند.
لازم به ذكر است تا به حال دو نوع A و B از آن منتشر گرديده است.
ويروس ياد شده پس از شروع فعاليت فايل AVSERVE.EXE را در نوع A و فايل AVSERVE2.EXE را در نوع B خود در شاخه ويندوز و يك تعداد فايل در شاخه Windows/system و يا Windows/system32 كپي مي نمايدكه نام اين فايلها به صورت xxxxx_up.exe است كه xxxxx يك عدد ۵ رقمي تصادفي مي باشد.
همچنين اين ويروس تغييراتي نيز در رجيستري قرباني اجرا مي نمايد و فايل LSASS.EXE ﴿كه از اجزاي اصلي ويندوز است﴾ را crash نموده باعث نمايش پيغام خطايي درباره L‌SA Shell مي شود. بعضا سيستم به خودي خود shut down يا restart مي شود. كاربران از اين اخطار به عنوان اخطار Don't Send ياد مي كنند.
پنجره اي كه توسط اين اخطار ظاهر مي گردد به صورت زير مي باشد.
 


Remover ارائه شده توسط Symantec :
Norton جهت چك كردن سيستمها و پاكسازي آنها برنامه زير را معرفي نموده است. آن را داونلود و سيستم خود را با اجراي آن چك نماييد. توجه نماييد اين عمل به تنهايي كافي نبوده و شما حتماً به اصلاحيه هاي مايكروسافت نياز داريد.


 

http://securityresponse.symantec.com/avcenter/FxSasser.exe

روش پاكسازي به صورت دستي :
۱- اينترنت را قطع نموده با كليك راست بر روي My Computer و انتخاب properties در بالاي صفحه System Restore را انتخاب و گزينه Turn Off System Restore را تيك زده سپس OK نماييد.


۲- كامپيوتر را Reboot نموده آن را در حالت Safe Mode راه اندازي نماييد.پس از آن كليد هاي Ctrl+Alt+Delete را بگيريد در پنجره باز شده گزينه Task Manager را انتخاب و در بالاي صفحه وارد بخش Properties شويد. سرويس هاي AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر كدام جداگانه كليد End Process را بزنيد.


۳-فايل هاي زير را توسط كليدهاي Shift+Del براي هميشه از سيستم خود پاك نماييد:


c:\windows\avserve.exe
c:\windows\avserve2.exe
c:\windows\system\xxxxx_up.exe
c:\windows\system32\xxxxx_up.exe


 

4- گزينه Run را با كليك كردن بر روي Start ويندوز انتخاب و دستور RegEdit را تايپ كرده و OK كنيد.در شاخهHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
كليد های "avserve.exe"="%Windir%\avserve.exe" و "avserve2.exe"="%Windir%\avserve2.exe"
را Delete نماييد.
۵- اكنون به اينترنت وصل شده Patch هاي مربوطه را داونلود و آن را Setup نماييد:


 

اصلاحيه هاي مايكروسافت :
بسته به نوع ويندوزتان چه به SASSER آلوده شده باشيد و چه از حمله آن در امان مانده باشيد بايد هر چه سريعتر اقدام به داونلود Patch هاي زير نموده و آنها را بر روي كامپوتر خود اجرا نماييد.


 

Windows XP : http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE


 

Windows 2000 : http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE


 

همچنين همين امروز مايكروسافت براي كليه نسخه هاي ويندوز اقدام به ارائه يك اصلاحيه تحت عنوان Sasser Removal Tools نمود كه نحوه عمل آن اصلا شبيه يك Remover نيست. ولي به هر حال داونلود و اجراي آن نيز واجب است.


 

http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe