بررسی چگونگی مبارزه با ویروس Sasser

۱) قطع ارتباط با اینترنت
در صورت مشاهده عوارض ابتلا به ویروس اگر در اداره یا منزل خود به اینترنت متصل هستید برای جلوگیری از مشكلات بیشتر ابتدا ارتباط اینترنتی خود را قطع كنید حتی جهت احتیاط بهتر است كه سوكت خط تلفن را از پشت مودم خود خارج كنید.
۲) متوقف كردن چرخه خاموش كردن كامپیوتر
از آنجایی كه این كرم با از كار انداختن سرویس Lsass.exe باعث راه اندازی مجدد دستگاه شما ظرف یك دقیقه میشود به محض مشاهده كادر هشدار دهنده مربوطه كه مشابه عملكرد ویروس Blaster است مراحل زیر را دنبال كنید تا از راه اندازی مجدد دستگاه جلوگیری نمایید.
الف)بر روی نوار وظیفه بر روی دكمه استارت و سپس Run كلیك نمایید.
ب) در منوی Run عبارت cmd را تایپ نموده و كلید Enter را فشار دهید.
ج) در خط فرمان و در محل مكان نمای ماوس دستور shutdown -a را تایپ نموده و كلید Enter را فشار دهید.با این كار كه البته باید قبل از اتمام مهلت ۶۰ ثانیه ای شما صورت بگیرد كادر هشدار دهنده مربوط به خاموشی سیستم شما باید محو شود.البته كار شما هنوز تمام نشده است.
۳) كاهش آسیب پذیری سیستم ناشی از حمله كرم
شما میتوانید با ساختن یك Logfile از اجرای كد فعال كننده این كرم جلوگیری كنید .این روش به وسیله متخصصان مایكروسافت تجربه و امتحان شده است.مطابق مرحله قبل Command Prompt را اجرا كنید.سپس دستور زیر را تایپ نموده و Enter را فشار دهید.
echo
dcpromo>%systemroot%dcpromo.log
حال صفت این فایل را فقط خواندنی(Read only)كنید.
Attrib+R%systemroot%debugdcpromo.log
و كلید Enter را بزنید. با این كار بسته های آلوده كه از طریق پورتهای باز وارد سیستم شما میشوند قابلیت اجرا را نخواهند داشت.
۴) بعد از آلوده شدن سیستم شما به این كرم كارآیی سیستم شما با راه افتادن و تحمیل فرآیندهای (Process) اضافی ناشی از عملكرد ویروس كاهش خواهد یافت و همینطور بر سرعت اینترنتی شما نیز اثر خواهد گذاشت بنابراین شما نخاهید توانست تا نرم افزارهای مورد نیاز خود را دریافت نموده و ویروس را از بین ببرید.به همین خاطر با فشردن كلیدهای تركیبی Ctrl+Alt+Del یا با كلیك سمت راست بر روی نوار وظیفه و انتخاب گزینه Task Manager (اگر كامپیوتر شما عضو یك Domain / دامنه در یك شبكه محلی LAN باشد كادری محاوره ای (Dialogbox)ظاهر میشود كه باید از میان دكمه های فرمان آن گزینه Task Manager یا همان مدیر وظایف ویندوز كه مخصوص ویندوزهای ۲۰۰۰-NT-XP میباشد را اجرا نموده و سپس بر روی دكمه Application این برنامه وظایف (Task) یا فرآیند Processهایی را كه دارای اسامی زیر هستند با فشردن كلید End Task در تب Application و دكمه End Process در تب Process از فعالیت خارج كنید.این فرآیند یا وظایف شامل مواردی میباشند:
الف) هر وظیفه ای كه با up.exe خاتمه می یابد.برای مثال (۱۲۳۴۵-up.exe)
ب)هر وظیفه ای كه با avserve شروع میشود.برای مثال (avserve.exe)
ج)هر وظیفه ای كه با avserve۲ شروع میشود.
د)هر وظیفه ای كه با Skynetave شروع میشود.
همچنین فرآیندهای زیر را نیز در تب Processبا فشردن كلید End process از كار بیندازید:
Hkey.exe
Msiwin۸۴.exe
Wmiprvsw.exe
▪ توجه:دقت كنید كه فرآیند wmiprsve.exe را كه شبیه فرآیند مورد آخر میبشد به اشتباه از كار نیندازید زیرا این یك فرآیند سالم و طبیعی ویندوز محسوب میشود.
مرحله پنجم:فعال سازی دیواره آتش
۶) اتصال مجدد به اینترنت
مجددا سوكت تلفن خود را به مودم متصل كرده و به انترنت متصل شوید.
۷) Patch حذف كننده Sasser را از آدرس زیر دریافت نموده و نصب و اجرا نمایید.
http://www.microsoft.com/security/incident/sasser.mspx
این Patch با شمارهKB۸۴۱۷۲۰ شناخته میشود.
۸) پیشگیری از هجوم ویروس در آینده
برای این منظور به آدرس زیر رفته و Patch شماره KB۸۳۵۷۳۲ را بارگذاری و نصب كنید.
http://go.microsoft.com/?LinkID=۶۰۱۳۵۴
و بالاخره اگر Patch حذف كننده مایكرو سافت به درستی عمل نكرد میتوانید از خدمات مجانی شركتهای زیر برای این منظور استفاده نمایید:شركتهایی مانند:
pandasymantec
etwork associatesTrendMicro