Type

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
آشنايي با ويروس ها (15)- کرم اينترنتي Sasser
-(3 Body) 
آشنايي با ويروس ها (15)- کرم اينترنتي Sasser
Visitor 1028
Category: دنياي فن آوري
نام : Sasser
نام مستعار :: Sasser . a, worm . Win32 . Sasser . a
حجم :: 15872
تمامي نسخه اين کرم b,c,d همه و حتي پدر اين کرم يعني ورژين اصلي آن براي پخش در اينترنت از يک آسيب پذيري به نام ms04-011 (LSASS ) استفاده مي کنند که اين آسيب پذيري باعث Buffer overrun در Local Security authority subsystem Service مي شود .
و نتيجه آن اين است
1 - اجرا شدن بر روي ويندوز هاي 2000 و xp
2 – هيچ پچ امنيتي براي آن شناخته شده نيست .
3 – باعث اتصال شما بدون فايروال بر روي اينترنت مي شود .
يکي از مشخصه هاي وجود اين کرم بر روي سيستم وجود فايل ' c:\win . log ' و تکرار خرد شدن فايل ' LSASS . exe ' است . يکي ديگر از مشخصه هاي اين کرم ايجاد ترافيک بر روي پورت هاي tcp ports 445, 5554 and 9996 است .
براي پاک کردن اين کرم مي توانيد به لينک زير مراجعه کنيد و بسته آنتي اين کرم را دانلود و اجرا کنيد .
http://www . f-secure . com/Tools/f-Sasser . zip
و براي پاک کردن دستي اين کرم مي توانيد مراحل زير را دنبال کنيد ::
1 – بسته آنتي آسيب پذيري Microsoft Patch ms04-011 را دانلود کرده و نصب کنيد
2 - task manager ويندوز را اجرا کنيد و سپس فايل " avserve . exe " را از چرخه پروسس خارج کنيد .
3 – و فايل avserve . exe را از شاخه ويندوز و شاخه root پاک کنيد .
اين کرم به وسيله نرم افزار Visual c ++ نوشته شده است و بسته پخش آن به وسيله يک فايل اجرايي است .

توضيحات بيشتر

هنگامي که کرم اجرا مي شود خود را در شاخه ويندوز به نام فايل ' avserve . exe ' ذخيره مي کند و همچنين اين شاخه را در ريجيستر ويندوز مي سازد ::
[ software\Microsoft\windows\currentversion\run ]
" avserve . exe" = "%windir%\avserve . exe "
توجه داشته باشيد اسم mutex اين کرم ' jobaka3l ' است . گفته شد که کرم براي پخش خود از يک آسيب پذيري استفاده مي کند و همچنين براي پيدا کردن قرباني از قالب range ip استفاده مي کند و IP ها را به صورت راندوم پيدا مي کند .
رفتار کرم : بر روي ويندوز هاي 2000 همان 50 ثانيه معروف ديده مي شود
ولي بر روي ويندوز xp يروري به نام lsa Shell ديده مي شود .
نکته :: ويندوز هاي NT & me اين کرم را نخواهند گرفت . بدين معني که کرم بر روي اين ويندوز ها کار نمي کند . کرم از پورت 455 براي حمله استفاده مي کند و از پورت 5554 براي سرور FTP بر روي سيستم آلوده و همچنين از پورت 9996 براي Shell کامل استفاده مي کند .
ادامه دارد ......
ارسال مقاله توسط عضو محترم سايت با نام کاربري : sm1372
Add Comments
Name:
Email:
User Comments:
SecurityCode: Captcha ImageChange Image
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.