نام : Sasser نام مستعار :: Sasser . a, worm . Win32 . Sasser . a
حجم :: 15872
تمامی نسخه این کرم b,c,d همه و حتی پدر این کرم یعنی ورژین اصلی آن برای پخش در اینترنت از یک آسیب پذیری به نام ms04-011 (LSASS ) استفاده می کنند که این آسیب پذیری باعث Buffer overrun در Local Security authority subsystem Service می شود .
و نتیجه آن این است
1 - اجرا شدن بر روی ویندوز های 2000 و xp
2 – هیچ پچ امنیتی برای آن شناخته شده نیست .
3 – باعث اتصال شما بدون فایروال بر روی اینترنت می شود .
یکی از مشخصه های وجود این کرم بر روی سیستم وجود فایل ' c:\win . log ' و تکرار خرد شدن فایل ' LSASS . exe ' است . یکی دیگر از مشخصه های این کرم ایجاد ترافیک بر روی پورت های tcp ports 445, 5554 and 9996 است .
برای پاک کردن این کرم می توانید به لینک زیر مراجعه کنید و بسته آنتی این کرم را دانلود و اجرا کنید .
http://www . f-secure . com/Tools/f-Sasser . zip
و برای پاک کردن دستی این کرم می توانید مراحل زیر را دنبال کنید ::
1 – بسته آنتی آسیب پذیری Microsoft Patch ms04-011 را دانلود کرده و نصب کنید
2 - task manager ویندوز را اجرا کنید و سپس فایل " avserve . exe " را از چرخه پروسس خارج کنید .
3 – و فایل avserve . exe را از شاخه ویندوز و شاخه root پاک کنید .
این کرم به وسیله نرم افزار Visual c ++ نوشته شده است و بسته پخش آن به وسیله یک فایل اجرایی است .
توضیحات بیشتر
هنگامی که کرم اجرا می شود خود را در شاخه ویندوز به نام فایل ' avserve . exe ' ذخیره می کند و همچنین این شاخه را در ریجیستر ویندوز می سازد ::
[ software\Microsoft\windows\currentversion\run ]
" avserve . exe" = "%windir%\avserve . exe "
توجه داشته باشید اسم mutex این کرم ' jobaka3l ' است . گفته شد که کرم برای پخش خود از یک آسیب پذیری استفاده می کند و همچنین برای پیدا کردن قربانی از قالب range ip استفاده می کند و IP ها را به صورت راندوم پیدا می کند .
رفتار کرم : بر روی ویندوز های 2000 همان 50 ثانیه معروف دیده می شود
ولی بر روی ویندوز xp یروری به نام lsa Shell دیده می شود .
نکته :: ویندوز های NT & me این کرم را نخواهند گرفت . بدین معنی که کرم بر روی این ویندوز ها کار نمی کند . کرم از پورت 455 برای حمله استفاده می کند و از پورت 5554 برای سرور FTP بر روی سیستم آلوده و همچنین از پورت 9996 برای Shell کامل استفاده می کند .
ادامه دارد ......