فايروس خطير يعتمد على منفذ 445 في الاكس بي

أصيبت آلاف الكمبيوترات يوم الإثنين, 3 مايو, 2004
بفيروس جديد يحمل اسم Sasser.A، وتأثرت به جهات عديدة وأدى إلى تأخير في رحلات طيران الإمارات نظرا لإصابة أنظمة حجوزات التذاكر في مطار دبي وفقا لصحيفة غلف نيوز. ويستغل الفيروس ثغرة تعرف باسم Microsoft Local Security Authority Subsystem Service LSASS vulnerability في كل من ويندوز 2000 وويندوز اكس بي وويندوز سيرفر 2003. ويمكن لمهاجمي الأنظمة استغلال هذه الثغرة لتشغيل ونسخ أي برنامج أو فيروس آخر في الأنظمة المعرضة للاختراق بسبب تلك الثغرة. ولا يعتمد هذا الفيروس على البريد الإلكتروني للانتشار ويقلد فيروس ساسر ما يقوم به فيروس آخر هو بلاستر من مسح واسع للأنظمة المعرضة للاختراق. ويمسح الفيروس عناوين الإنترنت IP addresses عشوائيا حتى يعثر على أجهزة لم يتم ترقيعها بالتحديثات الأمنية. وبمجرد العثور على تلك الأنظمة يقوم الفيروس بنسخ ذاته إلى دليل ويندوز باسم AVSERVE.EXE ويولد مدخلا جديدا في السجل ليعمل عند إعادة تشغيل الكمبيوتر، تحت مفتاح:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
avserve.exe = %windir%\avserve.exe
ويتوجب تحديث برامج مكافحة الفيروسات وأنظمة التشغيل لتلافي التعرض لخطر هذا الفيروس. وأحيانا لا يكفي ذلك للحماية من الفيروس لأنه يعتمد منفذ TCP 445 للانتشار وهو المنفذ المعتمد للمشاركة على المجلدات والطابعات عبر الإنترنت.

وبعد إصابة كمبيوترات معينة ينطلق منها فيروس W32/Sasser.worm من منفذ TCP port 5554 لينتشر في غيرها مولدا بذلك حركة كثيفة على الإنترنت قد تؤدي إلى ضغوط تماثل هجمات حرمان من الخدمة.
وقد لا يتمكن المستخدم الذي يصاب كمبيوتره من تنزيل إداة التخلص من الفيروس قبل أن يعيد النظام التشغيل ، وعليه أن يتجه بسرعة إلى سطر تشغيل الأوامر run وطباعة الأمر shutdown -a

ويمكن التخلص منه يدويا بإعادة التشغيل في وضع الأمان (بالنقر على مفتاح F8 عند بدء التشغيل واختيار Safe Mode)
ثم إزالة ملف AVSERVE.EXE من دليل ويندوز (عادة ما يكون c:\windows أو c:\winnt)

ثم تحرير السجل بحذف قيمة avserve من مفتاح
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
ثم إعادة التشغيل.

تحياتي لكم جميعا