لا تزال حالات الإصابة بهذا الفيروس تقع يوميا بعد أسبوع على انتشاره وتردنا رسائل عديدة للتعرف على خطوات التخلص منه.
لا يعتمد هذا الفيروس على البريد الإلكتروني للانتشار ويقلد فيروس ساسر ما يقوم به فيروس آخر هو بلاستر من مسح واسع للأنظمة المعرضة للاختراق. ويمسح الفيروس عناوين الإنترنت IP addresses عشوائيا حتى يعثر على أجهزة لم يتم ترقيعها بالتحديثات الأمنية. وبمجرد العثور على تلك الأنظمة يقوم الفيروس بنسخ ذاته إلى دليل ويندوز باسم AVSERVE.EXE ويولد مدخلا جديدا في السجل ليعمل عند إعادة تشغيل الكمبيوتر، تحت مفتاح:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
avserve.exe = %windir%\avserve.exe
ويتوجب تحديث برامج مكافحة الفيروسات وأنظمة التشغيل لتلافي التعرض لخطر هذا الفيروس. وأحيانا لا يكفي ذلك للحماية من الفيروس لأنه يعتمد منفذ TCP 445 للانتشار وهو المنفذ المعتمد للمشاركة على المجلدات والطابعات عبر الإنترنت.
وتقدم سيمانتك أداة إزالة له في الموقع:
http://securityresponse.symantec.com...r/FxSasser.exe
وبعد إصابة كمبيوترات معينة ينطلق منها فيروس W32/Sasser.worm من منفذ TCP port 5554 لينتشر في غيرها مولدا بذلك حركة كثيفة على الإنترنت قد تؤدي إلى ضغوط تماثل هجمات حرمان من الخدمة.
وقد لا يتمكن المستخدم الذي يصاب كمبيوتره من تنزيل إداة التخلص من الفيروس قبل أن يعيد النظام التشغيل ، وعليه أن يتجه بسرعة إلى سطر تشغيل الأوامر run وطباعة الأمر shutdown -a
ويمكن التخلص منه يدويا بإعادة التشغيل في وضع الأمان (بالنقر على مفتاح F8 عند بدء التشغيل واختيار Safe Mode)
ثم إزالة ملف AVSERVE.EXE من دليل ويندوز (عادة ما يكون c:\windows أو c:\winnt)
ثم تحرير السجل بحذف قيمة avserve من مفتاح
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
ثم إعادة التشغيل.
الموضوع
العرض المتطور
