مشاهده نسخه کامل
: نگار
20-01-2005, 20:05
چند روز پيش تو يه مجله داشتم درباره ويروس ساسر مطلبي ميخوندم كه بد نديدم دوستان p30world هم از اون با مطلع بشوند.پس شروع ميكنيم.
مرحله اول:قطع ارتباط با اينترنت
در صورت مشاهده عوارض ابتلا به ويروس اگر در اداره يا منزل خود به اينترنت متصل هستيد براي جلوگيري از مشكلات بيشتر ابتدا ارتباط اينترنتي خود را قطع كنيد حتي جهت احتياط بهتر است كه سوكت خط تلفن را از پشت مودم خود خارج كنيد.
مرحله دوم:متوقف كردن چرخه خاموش كردن كامپيوتر
از آنجايي كه اين كرم با از كار انداختن سرويس Lsass.exe باعث راه اندازي مجدد دستگاه شما ظرف يك دقيقه ميشود به محض مشاهده كادر هشدار دهنده مربوطه كه مشابه عملكرد ويروس Blaster است مراحل زير را دنبال كنيد تا از راه اندازي مجدد دستگاه جلوگيري نماييد.
الف)بر روي نوار وظيفه بر روي دكمه استارت و سپس Run كليك نماييد.
ب)در منوي Run عبارت cmd را تايپ نموده و كليد Enter را فشار دهيد.
ج)در خط فرمان و در محل مكان نماي ماوس دستور shutdown -a را تايپ نموده و كليد Enter را فشار دهيد.با اين كار كه البته بايد قبل از اتمام مهلت 60 ثانيه اي شما صورت بگيرد كادر هشدار دهنده مربوط به خاموشي سيستم شما بايد محو شود.البته كار شما هنوز تمام نشده است.
مرحله سوم:كاهش آسيب پذيري سيستم ناشي از حمله كرم
شما ميتوانيد با ساختن يك Logfile از اجراي كد فعال كننده اين كرم جلوگيري كنيد .اين روش به وسيله متخصصان مايكروسافت تجربه و امتحان شده است.مطابق مرحله قبل Command Prompt را اجرا كنيد.سپس دستور زير را تايپ نموده و Enter را فشار دهيد.
echo
dcpromo>%systemroot%\dcpromo.log
حال صفت اين فايل را فقط خواندني(Read only)كنيد.
Attrib+R%systemroot%\debug\dcpromo.log
و كليد Enter را بزنيد. با اين كار بسته هاي آلوده كه از طريق پورتهاي باز وارد سيستم شما ميشوند قابليت اجرا را نخواهند داشت.
مرحله چهارم:
بعد از آلوده شدن سيستم شما به اين كرم كارآيي سيستم شما با راه افتادن و تحميل فرآيندهاي (Process) اضافي ناشي از عملكرد ويروس كاهش خواهد يافت و همينطور بر سرعت اينترنتي شما نيز اثر خواهد گذاشت بنابراين شما نخاهيد توانست تا نرم افزارهاي مورد نياز خود را دريافت نموده و ويروس را از بين ببريد.به همين خاطر با فشردن كليدهاي تركيبي Ctrl+Alt+Del يا با كليك سمت راست بر روي نوار وظيفه و انتخاب گزينه Task Manager (اگر كامپيوتر شما عضو يك Domain / دامنه در يك شبكه محلي LAN باشد كادري محاوره اي (Dialogbox)ظاهر ميشود كه بايد از ميان دكمه هاي فرمان آن گزينه Task Manager يا همان مدير وظايف ويندوز كه مخصوص ويندوزهاي 2000-NT-XP ميباشد را اجرا نموده و سپس بر روي دكمه Application اين برنامه وظايف (Task) يا فرآيند Processهايي را كه داراي اسامي زير هستند با فشردن كليد End Task در تب Application و دكمه End Process در تب Process از فعاليت خارج كنيد.اين فرآيند يا وظايف شامل مواردي ميباشند:
الف)هر وظيفه اي كه با up.exe خاتمه مي يابد.براي مثال (12345-up.exe)
ب)هر وظيفه اي كه با avserve شروع ميشود.براي مثال (avserve.exe)
ج)هر وظيفه اي كه با avserve2 شروع ميشود.
د)هر وظيفه اي كه با Skynetave شروع ميشود.
همچنين فرآيندهاي زير را نيز در تب Processبا فشردن كليد End process از كار بيندازيد:
Hkey.exe
Msiwin84.exe
Wmiprvsw.exe
توجه:دقت كنيد كه فرآيند wmiprsve.exe را كه شبيه فرآيند مورد آخر ميبشد به اشتباه از كار نيندازيد زيرا اين يك فرآيند سالم و طبيعي ويندوز محسوب ميشود.
مرحله پنجم:فعال سازي ديواره آتش
مرحله ششم:اتصال مجدد به اينترنت
مجددا سوكت تلفن خود را به مودم متصل كرده و به انترنت متصل شويد.
مرحله هفتم:
Patch حذف كننده Sasser را از آدرس زير دريافت نموده و نصب و اجرا نماييد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اين Patch با شمارهKB841720 شناخته ميشود.
مرحله هشتم:پيشگيري از هجوم ويروس در آينده
براي اين منظور به آدرس زير رفته و Patch شماره KB835732 را بارگذاري و نصب كنيد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و بالاخره اگر Patch حذف كننده مايكرو سافت به درستي عمل نكرد ميتوانيد از خدمات مجاني شركتهاي زير براي اين منظور استفاده نماييد:شركتهايي مانند:
panda\symantec\network associates\TrendMicro
مرحله اول:قطع ارتباط با اينترنت
در صورت مشاهده عوارض ابتلا به ويروس اگر در اداره يا منزل خود به اينترنت متصل هستيد براي جلوگيري از مشكلات بيشتر ابتدا ارتباط اينترنتي خود را قطع كنيد حتي جهت احتياط بهتر است كه سوكت خط تلفن را از پشت مودم خود خارج كنيد.
مرحله دوم:متوقف كردن چرخه خاموش كردن كامپيوتر
از آنجايي كه اين كرم با از كار انداختن سرويس Lsass.exe باعث راه اندازي مجدد دستگاه شما ظرف يك دقيقه ميشود به محض مشاهده كادر هشدار دهنده مربوطه كه مشابه عملكرد ويروس Blaster است مراحل زير را دنبال كنيد تا از راه اندازي مجدد دستگاه جلوگيري نماييد.
الف)بر روي نوار وظيفه بر روي دكمه استارت و سپس Run كليك نماييد.
ب)در منوي Run عبارت cmd را تايپ نموده و كليد Enter را فشار دهيد.
ج)در خط فرمان و در محل مكان نماي ماوس دستور shutdown -a را تايپ نموده و كليد Enter را فشار دهيد.با اين كار كه البته بايد قبل از اتمام مهلت 60 ثانيه اي شما صورت بگيرد كادر هشدار دهنده مربوط به خاموشي سيستم شما بايد محو شود.البته كار شما هنوز تمام نشده است.
مرحله سوم:كاهش آسيب پذيري سيستم ناشي از حمله كرم
شما ميتوانيد با ساختن يك Logfile از اجراي كد فعال كننده اين كرم جلوگيري كنيد .اين روش به وسيله متخصصان مايكروسافت تجربه و امتحان شده است.مطابق مرحله قبل Command Prompt را اجرا كنيد.سپس دستور زير را تايپ نموده و Enter را فشار دهيد.
echo
dcpromo>%systemroot%\dcpromo.log
حال صفت اين فايل را فقط خواندني(Read only)كنيد.
Attrib+R%systemroot%\debug\dcpromo.log
و كليد Enter را بزنيد. با اين كار بسته هاي آلوده كه از طريق پورتهاي باز وارد سيستم شما ميشوند قابليت اجرا را نخواهند داشت.
مرحله چهارم:
بعد از آلوده شدن سيستم شما به اين كرم كارآيي سيستم شما با راه افتادن و تحميل فرآيندهاي (Process) اضافي ناشي از عملكرد ويروس كاهش خواهد يافت و همينطور بر سرعت اينترنتي شما نيز اثر خواهد گذاشت بنابراين شما نخاهيد توانست تا نرم افزارهاي مورد نياز خود را دريافت نموده و ويروس را از بين ببريد.به همين خاطر با فشردن كليدهاي تركيبي Ctrl+Alt+Del يا با كليك سمت راست بر روي نوار وظيفه و انتخاب گزينه Task Manager (اگر كامپيوتر شما عضو يك Domain / دامنه در يك شبكه محلي LAN باشد كادري محاوره اي (Dialogbox)ظاهر ميشود كه بايد از ميان دكمه هاي فرمان آن گزينه Task Manager يا همان مدير وظايف ويندوز كه مخصوص ويندوزهاي 2000-NT-XP ميباشد را اجرا نموده و سپس بر روي دكمه Application اين برنامه وظايف (Task) يا فرآيند Processهايي را كه داراي اسامي زير هستند با فشردن كليد End Task در تب Application و دكمه End Process در تب Process از فعاليت خارج كنيد.اين فرآيند يا وظايف شامل مواردي ميباشند:
الف)هر وظيفه اي كه با up.exe خاتمه مي يابد.براي مثال (12345-up.exe)
ب)هر وظيفه اي كه با avserve شروع ميشود.براي مثال (avserve.exe)
ج)هر وظيفه اي كه با avserve2 شروع ميشود.
د)هر وظيفه اي كه با Skynetave شروع ميشود.
همچنين فرآيندهاي زير را نيز در تب Processبا فشردن كليد End process از كار بيندازيد:
Hkey.exe
Msiwin84.exe
Wmiprvsw.exe
توجه:دقت كنيد كه فرآيند wmiprsve.exe را كه شبيه فرآيند مورد آخر ميبشد به اشتباه از كار نيندازيد زيرا اين يك فرآيند سالم و طبيعي ويندوز محسوب ميشود.
مرحله پنجم:فعال سازي ديواره آتش
مرحله ششم:اتصال مجدد به اينترنت
مجددا سوكت تلفن خود را به مودم متصل كرده و به انترنت متصل شويد.
مرحله هفتم:
Patch حذف كننده Sasser را از آدرس زير دريافت نموده و نصب و اجرا نماييد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اين Patch با شمارهKB841720 شناخته ميشود.
مرحله هشتم:پيشگيري از هجوم ويروس در آينده
براي اين منظور به آدرس زير رفته و Patch شماره KB835732 را بارگذاري و نصب كنيد.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و بالاخره اگر Patch حذف كننده مايكرو سافت به درستي عمل نكرد ميتوانيد از خدمات مجاني شركتهاي زير براي اين منظور استفاده نماييد:شركتهايي مانند:
panda\symantec\network associates\TrendMicro