فرهنگ و تاريخ | سرگرمي | نيازمنديها | مذهبي | اقتصادي | خانواده و اجتماع | هنر | اخبار | ورزش | کامپيوتر | گردشگري | صنعت و دانشگاه | صفحه اصلي

آموزش کارکردن با نرم افزارها
دانلود نرم افزارهاي کاربردي
آموزش سخت افزار کامپيوتر
آخرين قيمت قطعات کامپيوتر
آموزش ويندوز و ترفندهاي آن
معرفي انواع سيستم عاملها
آموزش کار با اينترنت و شبکه
مبارزه با ويروسهاي کامپيوتري
رده بندي سايتهاي کامپيوتري
نشريات و کتابهاي کامپيوتري
 
 

عنوان: آشنايي با انواع ويروسها

نويسنده: وحيد مجيدزاده

منبع اطلاعاتي: www.Fadak.us            تاريخ نگارش:

عکس
 

 

گالري تصاوير

 

- - - - -

   
 
 

آغاز انتشار اين ويروس شنبه اول ماه May سال 2003 بود. اين ويروس به اندازه كافي مخرب بود و توانست با بهره‌گيري از قدرت خود اختلال در ارتباطات ماهواره‌اي چند بنگاه خبري كشور فرانسه و لغو چندين پرواز خطوط هوايي شركت دلتا را به نام خود ثبت كند. علاوه بر اين فعاليت اداره پست تايوان , 130 شعبع بانك سامپو در فندلاند , خدمات قطارهاي مسافربري در استراليا و مقر كميسيون اروپا در بروكسل نيز مختل شد.
اين ويروس با بهره‌گيري از حفره امنيتي سيستم ‌عامل‌هاي روز آمد نشده ويندوز 2000 و اكس‌پي خود را انتشار مي‌داد و در مسير خود نيز به دنبال چنين ميزباناني مي‌گشت تا آن‌ها را نيز آلوده سازد. اين ويروس به نسخه هاي جديدتر سيستم عامل ويندوز حمله مي کرد و باعث راه اندازي مجدد كامپيوتر مي شد كه اين رفتار منجر به وارد آوردن ده‌ها ميليون دلار خسارت شد.
ويروس Sasser توسط يك دانش آموز دبيرستاني هفده ساله و مقيم كشور آلمان نوشته شده بود كه در روز تولد هيجده سالگي وي انتشار يافت. از آن جايي كه هنگام طراحي اين ويروس او سني كمتر از سن قانوني داشت، حكم محكوميت وي به حالت تعليق در آمد.

 

 نحوه کار ويروس ساسر:

اين ويروس از نقطه ضعفي در سيستم عامل ويندوز استفاده مي كند كه 3 هفته قبل جزئيات و نحوه اصلاح و ترميم آن از سوي شركت مايكروسافت در قالب برنامه ماهانه آن اعلام شده بود.شركت مايكروسافت در دومين سه شنبه هر ماه ميلادي اصلاحيه هاي انجام شده روي نرم افزارهاي خود را انتشار مي دهد.
نقطه ضعف مورد سو استفاده ويروس ساسر تحت عنوان اصلاحيه شماره MS-04-011 اعلام شده و فايل هاي اصلاحي لازم براي هر يك از انواع سيستمهاي عامل از سوي مايكروسافت عرضه شده است.اين ويروس از طريق فايل آلوده اي به نام AVSERVE.EXE انتشار مي يابد و يك نسخه از فايل AVSERVE.EXE را در شاخه ويندوزكپي مي كند و دستور اجراي آن را نيز در رجيستري قرار مي دهد تا در هر بار راه اندازي كامپيوتر ويروس مجددا فعال شود.
سپس اين ويروس از روي كامپيوتر آلوده اقدام به كنترل نشاني هاي IP به طور تصادفي مي كند تا ديگر كامپيوترهاي آسيب پذير را شناسايي كند.به طور همزمان نيز از پورت 1068 شروع كرده و يك به يك پورت هاي بعدي را شنود مي كند.
اين ويروس در شاخه (C:) فايل Win-log را كه حاوي نشاني هاي IP است,ايجاد مي كند و سپس يك تعداد فايل در شاخه Windows/System درست مي كند.نام اين فايل ها به صورت xxxxx_up.exe است.xxxxx يك عدد 5 رقمي تصادفي است.يكي از اثرات اصلي ويروس ساسر تأثيري است كه روي فايل LSASS.EXE(متعلق به ويندوز) مي گذارد و باعث از كار افتادن آن مي شود.سيستم هايي كه فايل LSASS.EXE در روي آنها از كار بيفتد به طور خودكار راه اندازي مجدد (re-boot) مي شوند.احتمال نمايش پيام خطايي درباره LSA Shell در كامپيوترهاي آلوده نيز وجود دارد.همان طور كه اغلب اوقات پس از ظهور يك ويروس جديد و مهم,شاهد ظهور گونه هاي بعدي و كمي تغيير يافته ويروس اصلي هستيم,اين اتفاق درباره ويروس ساسر نيز رخ داده و در حال انتشار است.روز يكشنبه دوم ماه May يك روز پس از انتشار نسخه اول اين ويروس,شاهد ويروس Sasser.B بوده ايم كه تقريبا با همان قابليتهاي ويروس اصلي و با همان سرعت در حال انتشار است.نوع دوم اين ويروس از نظر مشخصات كلي مشابه نوع اول است و از طريق فايل AVSEVE2.EXE منتشر مي شود.ويروس ساسر از روي كامپيوترهاي آلوده شده به طور تصادفي نشاني هاي IP را براي يافتن كامپيوترهاي آسيب پذير كنترل و جستجو مي كند.به محض يافتن يك كامپيوتر آسيب پذير,ويروس اقدام به سرريز كردن حافظه در نظر گرفته شده buffer براي فايل LSASS.EXE مي كند.بدين وسيله ويروس قادر مي شود يك FTP Script با نام CMD.FTP را روي پورت شماره 9996 كامپيوتر قربانب قرار داده و آن را اجرا كند.اجراي اين اسكريپت كامپيوتر قرباني را وادار به دريافت(download) فايل آلوده به نام(>_UP.EXEعدد شانسي<) از كامپيوتري مي كند كه قبلا آلوده شده و سپس دستور اجراي آن را صادر مي كند.كامپيوتري كه قبلا آلوده شده از طريق پورت شماره 5554اين ترافيك را قبول مي كند.
 

 پاك سازي دستي:
1- فايروال Windows XP Internet Conection و يا هر فايروال ديگري را كه داريد فعال كنيد.
2- ارتباط كامپيوتر با اينترنت را قطع كنيد.
3- كامپيوتر را راهاندازي مجدد كنيد.در صورت بروز مشكل,كامپوتر را در حالت Safe Mode راه اندازي كنيد.
4- كليدهاي ميانبر CTRL+ALT+DEL را بزنيد.
5- در پنجره اي كه باز مي شود گزينه Task Manager را انتخاب كنيد.
6- از بالاي كادر ظاهر شده بخش Processess را انتخاب كنيد.
7- سرويسهاي زير را انتخاب كنيد.

c:\windows\avserve.exe
c:\windows\system32\*_up.exe


و سپس دكمه  End Processرا بريا توقف آنها بزنيد.
8- فايلهاي زير را پيدا كرده و آنها را حذف كنيد:


c:\windows\avserve.exe
c:\windows\system32\*_up.exe


9- از منوي START گزينه Run را انتخاب كرده و دستور REGEDIT را تايپ نموده و دكمه Ok‌ را بزنيد
10- فرمان زير را در Registry پيدا كرده و آنرا حذف كنيد:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" =
C:\WINDOWS\avserve.exe
 

 

 

 

 

گروه علمي فدک

کليه مطالب ارسالي با نام اشخاص و ذکر منبع در اين سايت درج مي شود

راهنما  |  آمار سايت  |  درباره ما  |  تماس با ما  |  نظر خواهي  | آرشيو  |  عضويت در سايت