X
تبلیغات
رایتل

کرم اینترنتی ساسر و روش پاک کردن آن

1388/07/24 ساعت 17:12
این کرم با خصوصیات شبیه Blaster از طریق ایمیل منتشر نشده و هیچ نیازی به دخالت و اقدام کاربر جهت گسترش خود ندارد بلکه با پیدا کردن منافذ امنیتی ویندوز و ارسال فرمان به کامپیوتر قربانی آن را وادار به داونلود و اجرای فایل آلوده به ویروس می نماید. بدون آنکه کاربر کوچکترین آگاهی از این عمل داشته باشد.شیوع کرم یاد شده در حالی انجام می گردد که متخصصین مایکروسافت در روزهای گذشته هشدارهای جدی درباره ظهور ویروس های جدید داده اند. نقطه ضعفی که Sasser از آن برای نفوذ به سیستم قربانی استفاده می نماید تحت اصلاحیه MS-۰۴-۰۱۱ اعلام و فایل های مورد نیاز جهت اصلاح این نقص در انواع ویندوز ها از سوی مایکروسافت عرضه شده است.گونه هایی از کرم مزبور که تاکنون شناخته شده اند سیستم هایی را که با ویندوز ۲۰۰۰ و XP و Server ۲۰۰۳ کارمی کنند................
مورد حمله قرار داده و با ویندوزهای ۹۸ و Me و NT کاری ندارند. لازم به ذکر است تا به حال دو نوع A و B از آن منتشر گردیده است. 

ویروس یاد شده پس از شروع فعالیت فایل AVSERVE.EXE را در نوع A و فایل AVSERVE۲.EXE را در نوع B خود در شاخه ویندوز و یک تعداد فایل در شاخه Windows/system و یا Windows/system۳۲ کپی می نمایدکه نام این فایلها به صورت xxxxx_up.exe است که xxxxx یک عدد ۵ رقمی تصادفی می باشد.همچنین این ویروس تغییراتی نیز در رجیستری قربانی اجرا می نماید و فایل LSASS.EXE &#۶۴۸۳۱;که از اجزای اصلی ویندوز است&#۶۴۸۳۰; را crash نموده باعث نمایش پیغام خطایی درباره LSA Shell می شود. بعضا سیستم به خودی خود shut down یا restart می شود. کاربران از این اخطار به عنوان اخطار Don&#۰۳۹;t Send یاد می کنند. 
روش پاکسازی به صورت دستی : 


۱- اینترنت را قطع نموده با کلیک راست بر روی My Computer و انتخاب properties در بالای صفحه System Restore را انتخاب و گزینه Turn Off System Restore را تیک زده سپس OK نمایید. 


۲- کامپیوتر را Reboot نموده آن را در حالت Safe Mode راه اندازی نمایید.پس از آن کلید های Ctrl+Alt+Delete را بگیرید در پنجره باز شده گزینه Task Manager را انتخاب و در بالای صفحه وارد بخش Properties شوید. سرویس های AVSERVE.EXE و AVSERVE۲.EXE و xxxxx_up.exe را انتخاب و در مورد هر کدام جداگانه کلید End Process را بزنید.

 
۳-فایل های زیر را توسط کلیدهای Shift+Del برای همیشه از سیستم خود پاک نمایید: 
c:\windows\avserve.exe 
c:\windows\avserve۲.exe 
c:\windows\system\xxxxx_up.exe 
c:\windows\system۳۲\xxxxx_up.exe 


۴- گزینه Run را با کلیک کردن بر روی Start ویندوز انتخاب و دستور RegEdit را تایپ کرده و OK کنید.در شاخهHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
کلید های "avserve.exe"="%Windir%\avserve.exe" و "avserve۲.exe"="%Windir%\avserve۲.exe" 
را Delete نمایید. 
۵- اکنون به اینترنت وصل شده Patch های مربوطه را داونلود و آن را Setup نمایید
نظرات (0)
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)

نام :
ایمیل :
وب/وبلاگ :
ایمیل شما بعد از ثبت نمایش داده نخواهد شد