UNiComp.iR

نام :: Sasser
نام مستعار :: Sasser.A, Worm.Win32.Sasser.a
حجم :: 15872
تمامی نسخه این کرم b,c,d همه و حتی پدر این کرم یعنی ورژین اصلی آن برای پخش در اینترنت از یک آسیب پذیری به نام MS04-011 (LSASS) استفاده می کنند که این آسیب پذیری باعث buffer overrun در Local Security Authority Subsystem Service می شود.
و نتیجه ان این است ::
1 - اجرا شدن بر روی ویندوز های 2000 و Xp
2 – هیچ پچ امنیتی برای آن شناخته شده نیست .
3 – باعث اتصال شما بدون فایروال بر روی اینترنت می شود .
یکی از مشخصه های وجود این کرم بر روی سیستم وجود فایل 'C:win.log' و تکرار خرد شدن فایل 'LSASS.EXE' است . یکی دیگر از مشخصه های این کرم ایجاد ترافیک بر روی پورت هایTCP ports 445, 5554 and 9996 است .
برای پاک کردن این کرم می توانید به لینک زیر مراجعه کنید و بسته آنتی این کرم را دانلود و اجرا کنید .
http://www.f-secure.com/tools/f-sasser.zip
و برای پاک کردن دستی این کرم می توانید مراحل زیر را دنبال کنید ::
1 – بسته آنتی آسیب پذیری Microsoft patch MS04-011 را دانلود کرده و نصب کنید
2 - Task Manager ویندوز را اجرا کنید و سپس فایل "avserve.exe" را از چرخه پروسس خارج کنید .
3 – و فایل AVSERVE.EXE را از شاخه ویندوز و شاخه Root پاک کنید .
این کرم به وسیله نرم افزار Visual C++ نوشته شده است و بسته پخش آن به وسیله یک فایل اجرایی است .
توضیحات بیشتر ::
هنگامی که کرم اجرا می شود خود را در شاخه ویندوز به نام فایل 'avserve.exe' ذخیره می کند و همچنین این شاخه را در ریجیستر ویندوز می سازد ::
[SOFTWAREMicrosoftWindowsCurrentVersionRun]
"avserve.exe" = "%WinDir%avserve.exe"
توجه داشته باشید اسم mutex این کرم 'Jobaka3l' است . گفته شد که کرم برای پخش خود از یک آسیب پذیری استفاده می کند و همچنین برای پیدا کردن قربانی از قالب Range Ip استفاده می کند و Ip ها را به صورت راندوم پیدا می کند .
رفتار کرم : بر روی ویندوز های 2000 همان 50 ثانیه معروف دیده می شود
ولی بر روی ویندوز Xp یروری به نام LSA Shell دیده می شود.
نکته :: ویندوز های Nt & Me این کرم را نخواهند گرفت. بدین معنی که کرم بر روی این ویندوز ها کار نمی کند. کرم از پورت 455 برای حمله استفاده می کند و از پورت 5554 برای سرور FTP بر روی سیستم آلوده و همچنین از پورت 9996 برای Shell کامل استفاده می کند