IRCERT - و روش‌های مقابله با آن - راهنماییها W32/Sasser

صفحه اول > راهنماییها

کرم W32/Sasser و روش‌های مقابله با آن

تاریخ انتشار اولیه: 1 می 2004 (۱۲ اردیبهشت ۱۳۸۳)

تاریخ تجدید نظر و اصلاح: 3 می 2004 (۱۴ اردیبهشت ۱۳۸۳)

سیستمهای تحت تاثیر

· Windows 2000

· Widows XP

· Windows 2003 Server

چکیده

این کرم تلاش می‌کند که از یک شکاف امنیتی بر اساس سرریز بافر در
Windows Local Security Authority Service Server(LSASS) استفاده ‌کند. این شکاف امنیتی به یک نفوذگر اجازه می‌دهد که کنترل سیستم آلوده شده را از طریق کامپیوتر دیگر در دست گیرد

توضیح

گزارشهایی از کرم جدید به اسم W32/Sasser دریافت شده است. این کرم تلاش می‌کند که از یک شکاف امنیتی بر اساس سرریز بافر در Windows Local Security Authority Service Server(LSASS) استفاده ‌کند. این شکاف امنیتی به یک نفوذگر اجازه می‌دهد که کنترل سیستم آلوده شده را از طریق کامپیوتر دیگر در دست گیرد و کدهای دلخواه خود را با دسترسی در سطح سیستم اجرا کند. اطلاعات بیشتر در مورد این شکاف امنیتی را می‌توانید در VU#753212 و بولتن امنیتی مایکروسافت MS04-011 ببینید و Patch مناسب را با توجه به سیستم عامل فعلی خود دانلود کنید.

بروزرسانی نرم‌افزارهای ضدویروس برای مقابله با این کرم بشدت توصیه می‌گردد.از طریق این لینک نیزمی‌توانید با مراحل مقابله با Sasser آشنا شوید.

مرحله۱ : یک فایروال بر روی سیستم خود فعال کنید.

اول قدم، مطمئن شوید که فایروال را برای کمک به محافظت در مقابل آلودگی فعال کرده‌اید. اگر فایروال مطمئنی از قبل داشته‌اید احتمالا راه Sasser را مسدود کرده است و اگر کامپیوتر شما آلوده شده‌است، فعال کردن فایروال به محدود کردن تاثیرات این کرم کمک می‌کند.

مرحله۲: نسخه امنیتی به‌روز لازم را نصب کنید.

برای مراقبت از کامپیوترتان در مقابل کرم Sasser و انواع آن، ابتدا باید نسخه بروز امنیتی شماره 835732 را که در بولتن امنیتی مایکروسافت موجود است، دانلود و نصب کنید.

توجه: چنانچه شما این عمل را قبل از ۳۰ آوریل (۱۱ اردیبهشت) انجام داده‌اید، سیستم شما از این حمله مصون مانده است.

مرحله۳: سیستم خود را برای از بین بردن این کرم چک کنید.

با استفاده از این ابزار هارد سیستم خود را بررسی کنید تا در صورت وجود کرم، آنرا از بین ببرد.

کرمهای خانواده W32.Sasser سیستم‌عامل‌های Windows 2000 و Windows XP را آلوده می‌کنند. Sasser می‌تواند روی کامپیوترهای با سیستم‌عامل Windows 95/98/Me اجرا شود اما آنها را آلوده نمی‌کند. اگرچه این سیستم‌عاملها آلوده نمی‌شوند اما می‌توانند برای آلوده‌کردن سیستمهای آسیب‌پذیری که این کامپیوترها به آنها متصل می‌شوند، استفاده گردند. در این حالت، کرم منابع زیادی را اشغال می‌کند و به سایر برنامه‌ها حتی ابزار مقابله با کرم، اجازه اجرای درست و مناسب را نمی‌دهد. (روی Windows 95/98/Me ابزار از بین بردن کرم باید در Safe mode اجرا شود)

برای از بین بردن آلودگی انواع مختلف W32/Sasser ، می‌توانید از لینک‌های زیر استفاده کنید:

این ابزار در حقیقت اعمال زیر را انجام می‌دهد:

۱-به پروسه‌های ویروسی W32.Sasser خاتمه می‌دهد.

۲-فایلهای W32.Sasser را از بین می‌برد.

۳-مقادیری را که کرم در رجیستری اضافه کرده است، پاک می‌کند.