Apple Amir
Member
كرم اينترنتي Sasser از بعد از ظهر پنج شنبه ۱۰ ارديبهشت رايانه هايي را كه با سيستم عاملهاي مايكروسافت كار مي كنند هدف حملات خود قرار داده است. اين كرم با خصوصيات شبيه Blaster از طريق ايميل منتشر نشده و هيچ نيازي به دخالت و اقدام كاربر جهت گسترش خود ندارد بلكه با پيدا كردن منافذ امنيتي ويندوز و ارسال فرمان به كامپيوتر قرباني آن را وادار به داونلود و اجراي فايل آلوده به ويروس مي نمايد. بدون آنكه كاربر كوچكترين آگاهي از اين عمل داشته باشد.
شيوع كرم ياد شده در حالي انجام مي گردد كه متخصصين مايكروسافت در روزهاي گذشته هشدارهاي جدي درباره ظهور ويروس هاي جديد داده اند. نقطه ضعفي كه Sasser از آن براي نفوذ به سيستم قرباني استفاده مي نمايد تحت اصلاحيه MS-04-011 اعلام و فايل هاي مورد نياز جهت اصلاح اين نقص در انواع ويندوز ها از سوي مايكروسافت عرضه شده است.
گونه هايي از كرم مزبور كه تاكنون شناخته شده اند سيستم هايي را كه با ويندوز ۲۰۰۰ و XP و Server 2003 كار مي كنند مورد حمله قرار داده و با ويندوزهاي 98 و Me و NT كاري ندارند.
لازم به ذكر است تا به حال دو نوع A و B از آن منتشر گرديده است.
ويروس ياد شده پس از شروع فعاليت فايل AVSERVE.EXE را در نوع A و فايل AVSERVE2.EXE را در نوع B خود در شاخه ويندوز و يك تعداد فايل در شاخه Windows/system و يا Windows/system32 كپي مي نمايدكه نام اين فايلها به صورت xxxxx_up.exe است كه xxxxx يك عدد ۵ رقمي تصادفي مي باشد.
همچنين اين ويروس تغييراتي نيز در رجيستري قرباني اجرا مي نمايد و فايل LSASS.EXE ﴿كه از اجزاي اصلي ويندوز است﴾ را crash نموده باعث نمايش پيغام خطايي درباره LSA Shell مي شود. بعضا سيستم به خودي خود shut down يا restart مي شود. كاربران از اين اخطار به عنوان اخطار Don't Send ياد مي كنند.
روش پاكسازي به صورت دستي :
۱- اينترنت را قطع نموده با كليك راست بر روي My Computer و انتخاب properties در بالاي صفحه System Restore را انتخاب و گزينه Turn Off System Restore را تيك زده سپس OK نماييد.
۲- كامپيوتر را Reboot نموده آن را در حالت Safe Mode راه اندازي نماييد.پس از آن كليد هاي Ctrl+Alt+Delete را بگيريد در پنجره باز شده گزينه Task Manager را انتخاب و در بالاي صفحه وارد بخش Properties شويد. سرويس هاي AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر كدام جداگانه كليد End Process را بزنيد.
۳-فايل هاي زير را توسط كليدهاي Shift+Del براي هميشه از سيستم خود پاك نماييد:
c:\windows\avserve.exe
c:\windows\avserve2.exe
c:\windows\system\xxxxx_up.exe
c:\windows\system32\xxxxx_up.exe
4- گزينه Run را با كليك كردن بر روي Start ويندوز انتخاب و دستور RegEdit را تايپ كرده و OK كنيد.در شاخهHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
كليد های "avserve.exe"="%Windir%\avserve.exe" و "avserve2.exe"="%Windir%\avserve2.exe"
را Delete نماييد.
۵- اكنون به اينترنت وصل شده Patch هاي مربوطه را داونلود و آن را Setup نماييد
شيوع كرم ياد شده در حالي انجام مي گردد كه متخصصين مايكروسافت در روزهاي گذشته هشدارهاي جدي درباره ظهور ويروس هاي جديد داده اند. نقطه ضعفي كه Sasser از آن براي نفوذ به سيستم قرباني استفاده مي نمايد تحت اصلاحيه MS-04-011 اعلام و فايل هاي مورد نياز جهت اصلاح اين نقص در انواع ويندوز ها از سوي مايكروسافت عرضه شده است.
گونه هايي از كرم مزبور كه تاكنون شناخته شده اند سيستم هايي را كه با ويندوز ۲۰۰۰ و XP و Server 2003 كار مي كنند مورد حمله قرار داده و با ويندوزهاي 98 و Me و NT كاري ندارند.
لازم به ذكر است تا به حال دو نوع A و B از آن منتشر گرديده است.
ويروس ياد شده پس از شروع فعاليت فايل AVSERVE.EXE را در نوع A و فايل AVSERVE2.EXE را در نوع B خود در شاخه ويندوز و يك تعداد فايل در شاخه Windows/system و يا Windows/system32 كپي مي نمايدكه نام اين فايلها به صورت xxxxx_up.exe است كه xxxxx يك عدد ۵ رقمي تصادفي مي باشد.
همچنين اين ويروس تغييراتي نيز در رجيستري قرباني اجرا مي نمايد و فايل LSASS.EXE ﴿كه از اجزاي اصلي ويندوز است﴾ را crash نموده باعث نمايش پيغام خطايي درباره LSA Shell مي شود. بعضا سيستم به خودي خود shut down يا restart مي شود. كاربران از اين اخطار به عنوان اخطار Don't Send ياد مي كنند.
روش پاكسازي به صورت دستي :
۱- اينترنت را قطع نموده با كليك راست بر روي My Computer و انتخاب properties در بالاي صفحه System Restore را انتخاب و گزينه Turn Off System Restore را تيك زده سپس OK نماييد.
۲- كامپيوتر را Reboot نموده آن را در حالت Safe Mode راه اندازي نماييد.پس از آن كليد هاي Ctrl+Alt+Delete را بگيريد در پنجره باز شده گزينه Task Manager را انتخاب و در بالاي صفحه وارد بخش Properties شويد. سرويس هاي AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر كدام جداگانه كليد End Process را بزنيد.
۳-فايل هاي زير را توسط كليدهاي Shift+Del براي هميشه از سيستم خود پاك نماييد:
c:\windows\avserve.exe
c:\windows\avserve2.exe
c:\windows\system\xxxxx_up.exe
c:\windows\system32\xxxxx_up.exe
4- گزينه Run را با كليك كردن بر روي Start ويندوز انتخاب و دستور RegEdit را تايپ كرده و OK كنيد.در شاخهHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
كليد های "avserve.exe"="%Windir%\avserve.exe" و "avserve2.exe"="%Windir%\avserve2.exe"
را Delete نماييد.
۵- اكنون به اينترنت وصل شده Patch هاي مربوطه را داونلود و آن را Setup نماييد
