الفيروس الجديد.Sasser.وكيفية التخلص منه

الكاتب : الحزن المهجور   المشاهدات : 646   الردود : 4    ‏2004-05-24
      مشاركة رقم : 1    ‏2004-05-24
  1. الحزن المهجور

    الحزن المهجور عضو نشيط

    التسجيل :
    ‏2004-04-05
    المشاركات:
    390
    الإعجاب :
    0
    [color=FF0033]بسم الله الرحمن الرحيم

    السلام عليكم ورحمة الله وبركاته..
    [/color]


    [color=0000FF]هذا الموقع لديه الادوات اللازمة للتخلص من الدودة الجديدة التي تنتقل عبر الانترنت. دودة Sasser. [/color][color=FF0033]http://www.norman.com/Virus/Virus_removal_tools/14938[/color][color=0000FF]وتختار رقم الاصدار الخاص بالفيروس الدودة.

    نوع الفيروس: فيروس (دودة Worm) ينتقل عبر الاتصالات الشبكية (ليس البريد الالكتروني) بدون تدخل وعلم المستخدم للجهاز وحجم الفيروس هو أي حوالي 15872 بايت اي 15,8 كيلوبايت.

    ميكانيكية الانتشار: ينتشر هذا الفيروس عن طريق اتصال الحاسب بحاسب اخر على الشبكة ويستخدم ثغرة في برمجيات ويندوز. يأتي هجوم هذا الفيروس عبر المنفذ port 445/tcp وفي حالة كون الكمبيوتر ذا ثغرات امنية فإنه سيحدث Buffer overrun أو حسب فهمي فهو سيحمل ملف تنفيذي في الكمبيوتر فوق طاقته والملف التنفيذي هو LSASS.EXE. وهذا بدوره يعطي للفيروس الدودة لينصب غلاف shell للتحكم عن بعد في الجهاز الضحية. وعن طريق هذا الـ shell للتحكم عن بعد فإن الحاسب الأن مأمور بأن يجلب ملف الفيروس من الكمبيوتر المصاب الأول الى الكمبيوتر المصاب الجديد عبر ناقل FTP بروتوكول نقل الملفات ومن ثم تشغيل الفيروس.

    وبعد ذلك يقوم الفيروس بنقل نفسه الى مجلد ويندوز تحت مسمى AVSERVE.EXE وقد يعمل الفيروس ملفات ثانية لكي يكمل عملية الإصابة.

    وهذا هو اسمه (مفتاح الفيروس) في محرر السجلات registry
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    avserve.exe = %WINDIR%\avserve.exe

    وكعملية من عمليات الاصابة فيقوم الفيروس بفتح منفذ port 9996/tcp للتحكم بالجهاز عن بعد و port 5554/tcp لنقل الملفات.
    وبهذه المنافذ المفتوحة يستطيع المخترق اختراق الجهاز الضحية بالاضافة الى عملية تحمي الملف التنفيذي LSASS.EXE فوق طاقته والذي ينتج عنه خلل في عمل الحاسب الضحية.

    وهذا الفيروس يصيب اجهزة الحاسب التي تحمل نظام ويندوز كما ذكرنا أنفا والجهاز الضحية يصبح اكثر عرضة للإصابة في حالة عدم تنزيل وتنصيب ملفات الثغرات الامنية التي تطلقها شركة مايكروسوفت.

    وكما ذكرنا فإن رابط تنزيل ملف الازالة هو في اعلى المقال.
    [/color]


    [color=660000]تحياتي.... الحزن المهجور[/color]
     
  2.   مشاركة رقم : 2    ‏2004-05-24
  3. نجيب المجيدي

    نجيب المجيدي عضو فعّال

    التسجيل :
    ‏2003-12-08
    المشاركات:
    527
    الإعجاب :
    0
    مجهود تشكر عليه
     
  4.   مشاركة رقم : 3    ‏2004-05-24
  5. قرصان ألعرب

    قرصان ألعرب عضو نشيط

    التسجيل :
    ‏2004-04-12
    المشاركات:
    487
    الإعجاب :
    0
    تسلم
     
  6.   مشاركة رقم : 4    ‏2004-05-24
  7. الحزن المهجور

    الحزن المهجور عضو نشيط

    التسجيل :
    ‏2004-04-05
    المشاركات:
    390
    الإعجاب :
    0

    ----------------------------------------------------

    الله يسلمك

    ويسلموووووووو على المرور


    تحياتي..........
     
  8.   مشاركة رقم : 5    ‏2004-05-24
  9. الحزن المهجور

    الحزن المهجور عضو نشيط

    التسجيل :
    ‏2004-04-05
    المشاركات:
    390
    الإعجاب :
    0
    وجهة نظر من شخص اكن له كل الاحترام

    والاخوه ( المجيدي)


    تحياتي .............
     

مشاركة هذه الصفحة