IRCERT - و روش‌هاي مقابله با آن - راهنماییها W32/Sasser

صفحه اول > راهنماييها

کرم W32/Sasser و روش‌هاي مقابله با آن

تاريخ انتشار اوليه: 1 مي 2004 (۱۲ ارديبهشت ۱۳۸۳)

تاريخ تجديد نظر و اصلاح: 3 مي 2004 (۱۴ ارديبهشت ۱۳۸۳)

سيستمهاي تحت تاثير

· Windows 2000

· Widows XP

· Windows 2003 Server

چکيده

اين کرم تلاش مي‌کند که از يک شکاف امنيتي بر اساس سرريز بافر در
Windows Local Security Authority Service Server(LSASS) استفاده ‌کند. اين شکاف امنيتي به يک نفوذگر اجازه مي‌دهد که کنترل سيستم آلوده شده را از طريق کامپيوتر ديگر در دست گيرد

توضيح

گزارشهايي از کرم جديد به اسم W32/Sasser دريافت شده است. اين کرم تلاش مي‌کند که از يک شکاف امنيتي بر اساس سرريز بافر در Windows Local Security Authority Service Server(LSASS) استفاده ‌کند. اين شکاف امنيتي به يک نفوذگر اجازه مي‌دهد که کنترل سيستم آلوده شده را از طريق کامپيوتر ديگر در دست گيرد و کدهاي دلخواه خود را با دسترسي در سطح سيستم اجرا کند. اطلاعات بيشتر در مورد اين شکاف امنيتي را مي‌توانيد در VU#753212 و بولتن امنيتي مايکروسافت MS04-011 ببينيد و Patch مناسب را با توجه به سيستم عامل فعلي خود دانلود کنيد.

بروزرساني نرم‌افزارهاي ضدويروس براي مقابله با اين کرم بشدت توصيه مي‌گردد.از طريق اين لينک نيزمي‌توانيد با مراحل مقابله با Sasser آشنا شويد.

مرحله۱ : يک فايروال بر روي سيستم خود فعال کنيد.

اول قدم، مطمئن شويد که فايروال را براي کمک به محافظت در مقابل آلودگي فعال کرده‌ايد. اگر فايروال مطمئني از قبل داشته‌ايد احتمالا راه Sasser را مسدود کرده است و اگر کامپيوتر شما آلوده شده‌است، فعال کردن فايروال به محدود کردن تاثيرات اين کرم کمک مي‌کند.

مرحله۲: نسخه امنيتي به‌روز لازم را نصب کنيد.

براي مراقبت از کامپيوترتان در مقابل کرم Sasser و انواع آن، ابتدا بايد نسخه بروز امنيتي شماره 835732 را که در بولتن امنيتي مايکروسافت موجود است، دانلود و نصب کنيد.

توجه: چنانچه شما اين عمل را قبل از ۳۰ آوريل (۱۱ ارديبهشت) انجام داده‌ايد، سيستم شما از اين حمله مصون مانده است.

مرحله۳: سيستم خود را براي از بين بردن اين کرم چک کنيد.

با استفاده از اين ابزار هارد سيستم خود را بررسي کنيد تا در صورت وجود کرم، آنرا از بين ببرد.

کرمهاي خانواده W32.Sasser سيستم‌عامل‌هاي Windows 2000 و Windows XP را آلوده مي‌کنند. Sasser مي‌تواند روي کامپيوترهاي با سيستم‌عامل Windows 95/98/Me اجرا شود اما آنها را آلوده نمي‌کند. اگرچه اين سيستم‌عاملها آلوده نمي‌شوند اما مي‌توانند براي آلوده‌کردن سيستمهاي آسيب‌پذيري که اين کامپيوترها به آنها متصل مي‌شوند، استفاده گردند. در اين حالت، کرم منابع زيادي را اشغال مي‌کند و به ساير برنامه‌ها حتي ابزار مقابله با کرم، اجازه اجراي درست و مناسب را نمي‌دهد. (روي Windows 95/98/Me ابزار از بين بردن کرم بايد در Safe mode اجرا شود)

براي از بين بردن آلودگي انواع مختلف W32/Sasser ، مي‌توانيد از لينک‌هاي زير استفاده کنيد:

اين ابزار در حقيقت اعمال زير را انجام مي‌دهد:

۱-به پروسه‌هاي ويروسي W32.Sasser خاتمه مي‌دهد.

۲-فايلهاي W32.Sasser را از بين مي‌برد.

۳-مقاديري را که کرم در رجيستري اضافه کرده است، پاک مي‌کند.