شیوع گسترده کرم اینترنتی جدید شبیه Blaster

کرم اینترنتی Sasser از بعد از ظهر پنج شنبه ۱۰ اردیبهشت رایانه هایی را که با سیستم عاملهای مایکروسافت کار می کنند هدف حملات خود قرار داده است. این کرم با خصوصیات شبیه Blaster از طریق ایمیل منتشر نشده و هیچ نیازی به دخالت و اقدام کاربر جهت گسترش خود ندارد بلکه با پیدا کردن منافذ امنیتی ویندوز و ارسال فرمان به کامپیوتر قربانی آن را وادار به داونلود و اجرای فایل آلوده به ویروس می نماید. بدون آنکه کاربر کوچکترین آگاهی از این عمل داشته باشد. به گزارش بخش خبر سایت اخبار فن‌آوری اطلاعات ایران، از سایت ستاره سرخ (http://setarehsorkh.com/blog.php?id=94)، شیوع کرم یاد شده در حالی انجام می گردد که متخصصین مایکروسافت در روزهای گذشته هشدارهای جدی درباره ظهور ویروس های جدید داده اند. نقطه ضعفی که Sasser از آن برای نفوذ به سیستم قربانی استفاده می نماید تحت اصلاحیه MS-04-011 اعلام و فایل های مورد نیاز جهت اصلاح این نقص در انواع ویندوز ها از سوی مایکروسافت عرضه شده است. گونه هایی از کرم مزبور که تاکنون شناخته شده اند سیستم هایی را که با ویندوز ۲۰۰۰ و XP و Server 2003 کار می کنند مورد حمله قرار داده و با ویندوزهای 98 و Me و NT کاری ندارند. لازم به ذکر است تا به حال دو نوع A و B از آن منتشر گردیده است. ویروس یاد شده پس از شروع فعالیت فایل AVSERVE.EXE را در نوع A و فایل AVSERVE2.EXE را در نوع B خود در شاخه ویندوز و یک تعداد فایل در شاخه Windows/system و یا Windows/system32 کپی می نمایدکه نام این فایلها به صورت xxxxx_up.exe است که xxxxx یک عدد ۵ رقمی تصادفی می باشد. همچنین این ویروس تغییراتی نیز در رجیستری قربانی اجرا می نماید و فایل LSASS.EXE ﴿که از اجزای اصلی ویندوز است﴾ را crash نموده باعث نمایش پیغام خطایی درباره L‌SA Shell می شود. بعضا سیستم به خودی خود shut down یا restart می شود. کاربران از این اخطار به عنوان اخطار Don't Send یاد می کنند






Remover ارائه شده توسط Symantec : Norton جهت چک کردن سیستمها و پاکسازی آنها برنامه زیر را معرفی نموده است. آن را داونلود و سیستم خود را با اجرای آن چک نمایید. توجه نمایید این عمل به تنهایی کافی نبوده و شما حتماً به اصلاحیه های مایکروسافت نیاز دارید. http://securityresponse.symantec.com/avcenter/FxSasser.exe روش پاکسازی به صورت دستی : ۱- اینترنت را قطع نموده با کلیک راست بر روی My Computer و انتخاب properties در بالای صفحه System Restore را انتخاب و گزینه Turn Off System Restore را تیک زده سپس OK نمایید. ۲- کامپیوتر را Reboot نموده آن را در حالت Safe Mode راه اندازی نمایید.پس از آن کلید های Ctrl+Alt+Delete را بگیرید در پنجره باز شده گزینه Task Manager را انتخاب و در بالای صفحه وارد بخش Properties شوید. سرویس های AVSERVE.EXE و AVSERVE2.EXE و xxxxx_up.exe را انتخاب و در مورد هر کدام جداگانه کلید End Process را بزنید. ۳-فایل های زیر را توسط کلیدهای Shift+Del برای همیشه از سیستم خود پاک نمایید: c:windowsavserve.exe c:windowsavserve2.exe c:windowssystemxxxxx_up.exe c:windowssystem32xxxxx_up.exe 4- گزینه Run را با کلیک کردن بر روی Start ویندوز انتخاب و دستور RegEdit را تایپ کرده و OK کنید.در شاخهHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun کلید های "avserve.exe"="%Windir%avserve.exe" و "avserve2.exe"="%Windir%avserve2.exe" را Delete نمایید. ۵- اکنون به اینترنت وصل شده Patch های مربوطه را داونلود و آن را Setup نمایید: اصلاحیه های مایکروسافت : بسته به نوع ویندوزتان چه به SASSER آلوده شده باشید و چه از حمله آن در امان مانده باشید باید هر چه سریعتر اقدام به داونلود Patch های زیر نموده و آنها را بر روی کامپوتر خود اجرا نمایید. Windows XP : http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE Windows 2000 : http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE همچنین همین امروز مایکروسافت برای کلیه نسخه های ویندوز اقدام به ارائه یک اصلاحیه تحت عنوان Sasser Removal Tools نمود که نحوه عمل آن اصلا شبیه یک Remover نیست. ولی به هر حال داونلود و اجرای آن نیز واجب است. http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe