سفارش تبلیغ
صبا ویژن
  آشنایی با ویروس Sasser و راه مقابله با آن - ارغوان
ایمان و دانش، برادران همزادند و دو رفیق اند که از هم جدا نمی شوند . [امام علی علیه السلام]
منوی اصلی

[خـانه]

[  RSS  ]

[شناسنامه]

[پست الکترونیــک]

[ورود به بخش مدیریت]

درباره خودم
آشنایی با ویروس Sasser و راه مقابله با آن - ارغوان
امیر حسین یقموری
معمولی هستم عاشق هنر بخصوص موسیقی به کامپیوتر و برنامه نویسی هم علاقه مندم
لوگوی وبلاگ
آشنایی با ویروس Sasser و راه مقابله با آن - ارغوان
بایگانی
نوشته های قبلی
پاییز 1385
تابستان 1385
اوقات شرعی
لینک دوستان

عباس

لوگوی دوستان



جستجوی وبلاگ
 :جستجو

با سرعتی بی نظیر و باور نکردنی و اعجاب انگیز متن یادداشتهارا کاوایش کنید!

اشتراک در خبرنامه
 
وضعیت من در یاهو
یــــاهـو
کل بازدیدهای وبلاگ
40136
بازدیدهای امروز وبلاگ
120
پارسی بلاگ
www.parsiblog.com

نویسنده مطالب زیر:   امیر حسین یقموری  

عنوان متن آشنایی با ویروس Sasser و راه مقابله با آن شنبه 85 خرداد 13  ساعت 12:35 عصر

 


کرم اینترنتی Sasser از بعد از ظهر پنج شنبه 10 اردیبهشت رایانه هایی را که با سیستم عاملهای مایکروسافت کار می کنند هدف حملات خود قرار داده است. این کرم با خصوصیات شبیه Blaster از طریق ایمیل منتشر نشده و هیچ نیازی به دخالت و اقدام کاربر جهت گسترش خود ندارد بلکه با پیدا کردن منافذ امنیتی ویندوز و ارسال فرمان به کامپیوتر قربانی آن را وادار به داونلود و اجرای فایل آلوده به ویروس می نماید. بدون آنکه کاربر کوچکترین آگاهی از این عمل داشته باشد.
شیوع کرم یاد شده در حالی انجام می گردد که متخصصین مایکروسافت در روزهای گذشته هشدارهای جدی درباره ظهور ویروس های جدید داده اند. نقطه ضعفی که Sasser از آن برای نفوذ به سیستم قربانی استفاده می نماید تحت اصلاحیه MS-04-011 اعلام و فایل های مورد نیاز جهت اصلاح این نقص در انواع ویندوز ها از سوی مایکروسافت عرضه شده است.
گونه هایی از کرم مزبور که تاکنون شناخته شده اند سیستم هایی را که با ویندوز 2000 و XP و Server 2003 کار می کنند مورد حمله قرار داده و با ویندوزهای 98 و Me و NT کاری ندارند.
لازم به ذکر است تا به حال دو نوع A و B از آن منتشر گردیده است.
ویروس یاد شده پس از شروع فعالیت فایل AVSERVE.EXE را در نوع A و فایل AVSERVE2.EXE را در نوع B خود در شاخه ویندوز و یک تعداد فایل در شاخه Windows/system و یا Windows/system32 کپی می نمایدکه نام این فایلها به صورت xxxxx_up.exe است که xxxxx یک عدد 5 رقمی تصادفی می باشد.
همچنین این ویروس تغییراتی نیز در رجیستری قربانی اجرا می نماید و فایل LSASS.EXE (که از اجزای اصلی ویندوز است) را crash نموده باعث نمایش پیغام خطایی درباره L‌SA Shell می شود. بعضا سیستم به خودی خود shut down یا restart می شود. کاربران از این اخطار به عنوان اخطار Don"t Send یاد می کنند.
پنجره ای که توسط این اخطار ظاهر می گردد به صورت زیر می باشد.




Remover ارائه شده توسط Symantec :

Norton جهت چک کردن سیستمها و پاکسازی آنها برنامه زیر را معرفی نموده است. آن را داونلود و سیستم خود را با اجرای آن چک نمایید. توجه نمایید این عمل به تنهایی کافی نبوده و شما حتماً به اصلاحیه های مایکروسافت نیاز دارید.

http://securityresponse.symantec.com/avcenter/FxSasser.exe

روش پاکسازی به صورت دستی :
1- اینترنت را قطع نموده با کلیک راست بر روی My Computer و انتخاب properties در بالای صفحه System Restore را انتخاب و گزینه Turn Off System Restore را تیک زده سپس OK نمایید.

2- کامپیوتر را Reboot نموده آن را در حالت Safe Mode راه اندازی نمایید.پس از آن کلید های Ctrl+Alt+Delete را بگیرید در پنجره باز شده گزینه Task Manager را انتخاب و در بالای صفحه وارد بخش Properties شوید. سرویس های AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر کدام جداگانه کلید End Process را بزنید.


3-فایل های زیر را توسط کلیدهای Shift+Del برای همیشه از سیستم خود پاک نمایید:


c:\windows\avserve.exe
c:\windows\avserve2.exe
c:\windows\system\xxxxx_up.exe
c:\windows\system32\xxxxx_up.exe

4- گزینه Run را با کلیک کردن بر روی Start ویندوز انتخاب و دستور RegEdit را تایپ کرده و OK کنید.در شاخهHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
کلید های "avserve.exe"="%Windir%\avserve.exe" و "avserve2.exe"="%Windir%\avserve2.exe"
را Delete نمایید.
5- اکنون به اینترنت وصل شده Patch های مربوطه را داونلود و آن را Setup نمایید:

اصلاحیه های مایکروسافت :
بسته به نوع ویندوزتان چه به SASSER آلوده شده باشید و چه از حمله آن در امان مانده باشید باید هر چه سریعتر اقدام به داونلود Patch های زیر نموده و آنها را بر روی کامپوتر خود اجرا نمایید.

Windows XP : http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE

Windows 2000 : http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE

همچنین مایکروسافت برای کلیه نسخه های ویندوز اقدام به ارائه یک اصلاحیه تحت عنوان Sasser Removal Tools نمود که نحوه عمل آن اصلا شبیه یک Remover نیست. ولی به هر حال داونلود و اجرای آن نیز واجب است.

http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe

 


  نظرات شما  ( )

 

Powered by : پارسی بلاگ
Template Designed By : MehDJ