Domenica, 09 Maggio 2004 - 12:50 - 9472 Letture
da SWZone.it http://www.swzone.it/articoli/sasserworm/
W32/Sasser.worm.a (McAfee)
Identificato il 30 aprile 2004
Alias :
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)
W32/Sasser-A (Sophos)
OS interessati :
Windows 2000
Windows XP
Windows Server 2003 (non in modo diretto)
Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio.
Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima.....
W32/Sasser.worm.a (McAfee)
Identificato il 30 aprile 2004
Alias :
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)
W32/Sasser-A (Sophos)
OS interessati :
Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio.
Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima.....
Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima : si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l'esecuzione del worm.
L'host infetto accetterà il traffico sulla porta TCP 5554.
Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:\WINDOWS\system32\11583_up.exe ).
Sintomi principali :
Errori in LSA Shell e nel processo LSASS.EXE (con conseguente riavvio del sistema)
Arresto invocato da NT AUTHORITY\SYSTEM col messaggio uguale o simile a questo :
"Il processo di sistema C:\WINDOWS\system32\lsass.exe" è terminato in modo non previsto con codice di stato - 1073741819. Il sistema sarà chiuso e riavviato
Presenza del file avserve.exe nella directory di Windows
Presenza di questa chiave di registro :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "avserve.exe" = C:\WINDOWS\avserve.exe
Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi avserve.exe e quelli denominati da sequenza numerica, eliminate la chiave di registro ed applicate subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).
Usate un removal tool per rimuovere Sasser automaticamente, disabilitando prima e comunque il Ripristino di configurazione di sistema.
Varianti :
W32/Sasser.worm.b - W32/Sasser.worm.c
Le differenze sono minime : il nome del file è AVSERVE2.EXE
Usare il tool di rimozione Stinger o Symantec.
W32/Sasser.worm.d
Le differenze sono minime : il nome del file è SKYNETAVE.EXE
Usare il tool di rimozione Symantec o Panda.
<SPAN class=rosso>COME ANNIENTARLO</SPAN>
(*) MS04-011 Aggiornamento della protezione per Windows (KB835732)
Download diretto della patch in italiano:
Windows 2000 (per installare la patch è necessario almeno il Service Pack 2)
Windows XP
Windows Server 2003
(*) Security Update for Microsoft Windows (835732)
Direct download english version :
Windows 2000 (Service Pack 2 or greater required)
Windows XP
Windows Server 2003
Removal tools :
McAfee Stinger A...C
Symantec Sasser Removal Tool A...D
Panda QuickRemover A...D
Microsoft Sasser.A and Sasser.B Worm Removal Tool
BitDefender A...C
F-Secure A...C
Utilità :
Retina Sasser Worm Scanner
Ulteriori informazioni :
Cosa dovresti sapere su Sasser e le sue varianti (Pagina Microsoft dedicata)
Bollettino Microsoft sulla sicurezza MS04-011 (in italiano) del 13 aprile 2004
Microsoft Security Bulletin MS04-011 (english version) April 28, 2004
Network Associates
Symantec
Trend Micro
L'host infetto accetterà il traffico sulla porta TCP 5554.
Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:\WINDOWS\system32\11583_up.exe ).
Sintomi principali :
Arresto invocato da NT AUTHORITY\SYSTEM col messaggio uguale o simile a questo :
"Il processo di sistema C:\WINDOWS\system32\lsass.exe" è terminato in modo non previsto con codice di stato - 1073741819. Il sistema sarà chiuso e riavviato
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "avserve.exe" = C:\WINDOWS\avserve.exe
Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi avserve.exe e quelli denominati da sequenza numerica, eliminate la chiave di registro ed applicate subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).
Usate un removal tool per rimuovere Sasser automaticamente, disabilitando prima e comunque il Ripristino di configurazione di sistema.
Varianti :
Le differenze sono minime : il nome del file è AVSERVE2.EXE
Usare il tool di rimozione Stinger o Symantec.
Le differenze sono minime : il nome del file è SKYNETAVE.EXE
Usare il tool di rimozione Symantec o Panda.
(*) MS04-011 Aggiornamento della protezione per Windows (KB835732)
Download diretto della patch in italiano:
Windows 2000 (per installare la patch è necessario almeno il Service Pack 2) Windows XP Windows Server 2003(*) Security Update for Microsoft Windows (835732)
Direct download english version :
Windows 2000 (Service Pack 2 or greater required) Windows XP Windows Server 2003Removal tools :
McAfee Stinger A...C Symantec Sasser Removal Tool A...D Panda QuickRemover A...D Microsoft Sasser.A and Sasser.B Worm Removal Tool BitDefender A...C F-Secure A...CUtilità :
Retina Sasser Worm ScannerUlteriori informazioni :
Cosa dovresti sapere su Sasser e le sue varianti (Pagina Microsoft dedicata) Bollettino Microsoft sulla sicurezza MS04-011 (in italiano) del 13 aprile 2004 Microsoft Security Bulletin MS04-011 (english version) April 28, 2004 Network Associates Symantec Trend Microda www.swzone.it articolo di Eymerich
spero sia utile a tutti.
ciao
lucas
Anal Masterbation Tips