آشنایی با ویروس Sasser و راه مقابله با آن
كرم اینترنتی Sasser از بعداز ظهر پنج شنبه 10 اردیبهشت رایانه هایی را كه با سیستم عاملهای مایكروسافت كار می كنند هدف حملات خود قرار داده است. این كرم با خصوصیات شبیه Blaster از طریق ایمیل منتشر نشده و هیچ نیازی به دخالت و اقدام كاربر جهت گسترش خود ندارد بلكه با پیدا كردن منافذ امنیتی ویندوز و ارسال فرمان به كامپیوتر قربانی آن را وادار به داونلود و اجرای فایل آلوده به ویروس می نماید. بدون آنكه كاربر كوچكترین آگاهی از این عمل داشته باشد.
شیوع كرم یاد شده در حالی انجام می گردد كه متخصصین مایكروسافت در روزهای گذشته هشدارهای جدی درباره ظهور ویروس های جدید داده اند. نقطه ضعفی كه Sasser از آن برای نفوذ به سیستم قربانی استفاده می نماید تحت اصلاحیه MS-04-011 اعلام و فایل های مورد نیاز جهت اصلاح این نقص در انواع ویندوز ها از سوی مایكروسافت عرضه شده است.
گونه هایی از كرم مزبور كه تاكنون شناخته شده اند سیستم هایی را كه با ویندوز 2000 و XP و Server 2003 كار می كنند مورد حمله قرار داده و با ویندوزهای 98 و Me و NT كاری ندارند.
لازم به ذكر است تا به حال دو نوع A و B از آن منتشر گردیده است.
ویروس یاد شده پس از شروع فعالیت فایل AVSERVE.EXE را در نوع A و فایل AVSERVE2.EXE را در نوع B خود در شاخه ویندوز و یك تعداد فایل در شاخه Windows/system و یا Windows/system32 كپی می نمایدكه نام این فایلها به صورت xxxxx_up.exe است كه xxxxx یك عدد 5 رقمی تصادفی می باشد.
همچنین این ویروس تغییراتی نیز در رجیستری قربانی اجرا می نماید و فایل LSASS.EXE (كه از اجزای اصلی ویندوز است) را crash نموده باعث نمایش پیغام خطایی درباره LSA Shell می شود. بعضا سیستم به خودی خود shut down یا restart می شود. كاربران از این اخطار به عنوان اخطار Don't Send یاد می كنند.
پنجره ای كه توسط این اخطار ظاهر می گردد به صورت زیر می باشد.
Remover ارائه شده توسط Symantec :
Norton جهت چك كردن سیستمها و پاكسازی آنها برنامه زیر را معرفی نموده است. آن را داونلود و سیستم خود را با اجرای آن چك نمایید. توجه نمایید این عمل به تنهایی كافی نبوده و شما حتماً به اصلاحیه های مایكروسافت نیاز دارید.
http://securityresponse.symantec.com/avcenter/FxSasser.exe
روش پاكسازی به صورت دستی :
1- اینترنت را قطع نموده با كلیك راست بر روی My Computer و انتخاب properties در بالای صفحه System Restore را انتخاب و گزینه Turn Off System Restore را تیك زده سپس OK نمایید.
2- كامپیوتر را Reboot نموده آن را در حالت Safe Mode راه اندازی نمایید.پس از آن كلید های Ctrl+Alt+Delete را بگیرید در پنجره باز شده گزینه Task Manager را انتخاب و در بالای صفحه وارد بخش Properties شوید. سرویس های AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر كدام جداگانه كلید End Process را بزنید.
3-فایل های زیر را توسط كلیدهای Shift+Del برای همیشه از سیستم خود پاك نمایید:
c:/windows/avserve.exe
c:/windows/avserve2.exe
c:/windows/system/xxxxx_up.exe
c:/windows/system32/xxxxx_up.exe
4- گزینه Run را با كلیك كردن بر روی Start ویندوز انتخاب و دستور RegEdit را تایپ كرده و OK كنید.در شاخهHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
كلید های "avserve.exe"="%Windir%/avserve.exe" و "avserve2.exe"="%Windir%/avserve2.exe"
را Delete نمایید.
5- اكنون به اینترنت وصل شده Patch های مربوطه را داونلود و آن را Setup نمایید:
اصلاحیه های مایكروسافت :
بسته به نوع ویندوزتان چه به SASSER آلوده شده باشید و چه از حمله آن در امان مانده باشید باید هر چه سریعتر اقدام به داونلود Patch های زیر نموده و آنها را بر روی كامپوتر خود اجرا نمایید.
Windows 2000 :http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE
همچنین مایكروسافت برای كلیه نسخه های ویندوز اقدام به ارائه یك اصلاحیه تحت عنوان Sasser Removal Tools نمود كه نحوه عمل آن اصلا شبیه یك Remover نیست. ولی به هر حال داونلود و اجرای آن نیز واجب است.
