کرم اینترنتی ساسر و روش پاک کردن آن

كرم اینترنتی Sasser از بعد از ظهر پنج شنبه ۱۰ اردیبهشت رایانه هایی را كه با سیستم عاملهای مایكروسافت كار می كنند هدف حملات خود قرار داده است

كرم اینترنتی Sasser از بعد از ظهر پنج شنبه ۱۰ اردیبهشت رایانه هایی را كه با سیستم عاملهای مایكروسافت كار می كنند هدف حملات خود قرار داده است. این كرم با خصوصیات شبیه Blaster از طریق ایمیل منتشر نشده و هیچ نیازی به دخالت و اقدام كاربر جهت گسترش خود ندارد بلكه با پیدا كردن منافذ امنیتی ویندوز و ارسال فرمان به كامپیوتر قربانی آن را وادار به داونلود و اجرای فایل آلوده به ویروس می نماید. بدون آنكه كاربر كوچكترین آگاهی از این عمل داشته باشد.شیوع كرم یاد شده در حالی انجام می گردد كه متخصصین مایكروسافت در روزهای گذشته هشدارهای جدی درباره ظهور ویروس های جدید داده اند. نقطه ضعفی كه Sasser از آن برای نفوذ به سیستم قربانی استفاده می نماید تحت اصلاحیه MS-۰۴-۰۱۱ اعلام و فایل های مورد نیاز جهت اصلاح این نقص در انواع ویندوز ها از سوی مایكروسافت عرضه شده است.گونه هایی از كرم مزبور كه تاكنون شناخته شده اند سیستم هایی را كه با ویندوز ۲۰۰۰ و XP و Server ۲۰۰۳ كار می كنند مورد حمله قرار داده و با ویندوزهای ۹۸ و Me و NT كاری ندارند.

لازم به ذكر است تا به حال دو نوع A و B از آن منتشر گردیده است.

ویروس یاد شده پس از شروع فعالیت فایل AVSERVE.EXE را در نوع A و فایل AVSERVE۲.EXE را در نوع B خود در شاخه ویندوز و یك تعداد فایل در شاخه Windows/system و یا Windows/system۳۲ كپی می نمایدكه نام این فایلها به صورت xxxxx_up.exe است كه xxxxx یك عدد ۵ رقمی تصادفی می باشد.همچنین این ویروس تغییراتی نیز در رجیستری قربانی اجرا می نماید و فایل LSASS.EXE ۶۴۸۳۱;كه از اجزای اصلی ویندوز است۶۴۸۳۰; را crash نموده باعث نمایش پیغام خطایی درباره LSA Shell می شود. بعضا سیستم به خودی خود shut down یا restart می شود. كاربران از این اخطار به عنوان اخطار Don۰۳۹;t Send یاد می كنند.

روش پاكسازی به صورت دستی :

۱- اینترنت را قطع نموده با كلیك راست بر روی My Computer و انتخاب properties در بالای صفحه System Restore را انتخاب و گزینه Turn Off System Restore را تیك زده سپس OK نمایید.

۲- كامپیوتر را Reboot نموده آن را در حالت Safe Mode راه اندازی نمایید.پس از آن كلید های Ctrl+Alt+Delete را بگیرید در پنجره باز شده گزینه Task Manager را انتخاب و در بالای صفحه وارد بخش Properties شوید. سرویس های AVSERVE.EXE و AVSERVE۲.EXE و xxxxx_up.exe را انتخاب و در مورد هر كدام جداگانه كلید End Process را بزنید.

۳-فایل های زیر را توسط كلیدهای Shift+Del برای همیشه از سیستم خود پاك نمایید:

c:\windows\avserve.exe

c:\windows\avserve۲.exe

c:\windows\system\xxxxx_up.exe

c:\windows\system۳۲\xxxxx_up.exe

۴- گزینه Run را با كلیك كردن بر روی Start ویندوز انتخاب و دستور RegEdit را تایپ كرده و OK كنید.در شاخهHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

كلید های "avserve.exe"="%Windir%\avserve.exe" و "avserve۲.exe"="%Windir%\avserve۲.exe"

را Delete نمایید.

۵- اكنون به اینترنت وصل شده Patch های مربوطه را داونلود و آن را Setup نمایید