فيروس جديد، الأخطر حتى الآن!

الناقل : elmasry | المصدر : www.farfesh.com

فيروس جديد، الأخطر حتى الآن!
 

 
أصيبت آلاف الكمبيوترات بفيروس جديد يحمل اسم Sasser.A، وتأثرت به جهات عديدة ، ويستغل الفيروس ثغرة تعرف باسم Microsoft Local Security Authority Subsystem Service LSASS vulnerability في كل من ويندوز 2000 وويندوز اكس بي وويندوز سيرفر 2003.

ويمكن لمهاجمي الأنظمة استغلال هذه الثغرة لتشغيل ونسخ أي برنامج أو فيروس آخر في الأنظمة المعرضة للاختراق بسبب تلك الثغرة.

ولا يعتمد هذا الفيروس على البريد الإلكتروني للانتشار ويقلد فيروس ساسر ما يقوم به فيروس آخر هو بلاستر من مسح واسع للأنظمة المعرضة للاختراق.

ويمسح الفيروس عناوين الإنترنت IP addresses عشوائيا حتى يعثر على أجهزة لم يتم ترقيعها بالتحديثات الأمنية. وبمجرد العثور على تلك الأنظمة يقوم الفيروس بنسخ ذاته إلى دليل ويندوز باسم AVSERVE.EXE ويولد مدخلا جديدا في السجل ليعمل عند إعادة تشغيل الكمبيوتر، تحت مفتاح:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe = %windir%\avserve.exe

ويتوجب تحديث برامج مكافحة الفيروسات وأنظمة التشغيل لتلافي التعرض لخطر هذا الفيروس. وأحيانا لا يكفي ذلك للحماية من الفيروس لأنه يعتمد منفذ TCP 445 للانتشار وهو المنفذ المعتمد للمشاركة على المجلدات والطابعات عبر الإنترنت. وتقدم سيمانتك أداة إزالة له في الموقع:

http://securityresponse.symantec.com/avcenter/FxSasser.exe

وبعد إصابة كمبيوترات معينة ينطلق منها فيروس W32/Sasser.worm من منفذ TCP port 5554 لينتشر في غيرها مولدا بذلك حركة كثيفة على الإنترنت قد تؤدي إلى ضغوط تماثل هجمات حرمان من الخدمة.

وقد لا يتمكن المستخدم الذي يصاب كمبيوتره من تنزيل إداة التخلص من الفيروس قبل أن يعيد النظام التشغيل ، وعليه أن يتجه بسرعة إلى سطر تشغيل الأوامر run وطباعة الأمر shutdown -a .

ويمكن التخلص منه يدويا بإعادة التشغيل في وضع الأمان (بالنقر على مفتاح F8 عند بدء التشغيل واختيار Safe Mode) ثم إزالة ملف AVSERVE.EXE من دليل ويندوز (عادة ما يكون c:\windows أو c:\winnt).