|
|
| MEDIO |
Alias: |
Win32.Sasser.B@mm |
| |
Tipo: |
Internet Worm |
| |
Dimensione: |
15,872 Bytes |
| |
Piattaforma: |
Windows 2000/XP |
| |
|
|
| |
Descrizione: |
Sasser.B ? un worm insidioso capace di colpire WindowsXP, Windows2000 e Windows2003 Server sfruttando una vulnerabilit? di questi sistemi operativi di cui esiste da tempo la cura. Al contrario di altri worm, Sasser e Sasser.B si diffondono scansionando le reti a caccia di computer vulnerabili: se trovano una macchina che pu? essere attaccata l'attaccano subito e vi si installano.
Sasser.B non provoca guasti permanenti alle macchine in quanto il suo scopo ? prima di tutto quello di mandarle in crash spingendo il sistema operativo a riavviarsi pi? volte.
Sul piano tecnico, Sasser.B:
1 - modifica il registro di Windows per assicurarsi di essere avviato ad ogni riavvio del sistema operativo
2 - disabilita l'interfaccia di spegnimento del computer (Standby-Spegni-Riavvia) in modo da mascherare pi? facilmente le operazioni di riavvio del computer
3 - attiva un server FTP sulla porta TCP 5554, un'opzione che consente al worm di spedire se stesso ad altri computer vulnerabili
4 - sulla porta TCP 445, Sasser.B tenta di connettersi ad una serie di indirizzi IP casuali: se ci riesce allora invia del codice alla macchina contattata per spingerla ad attivare una shell sulla porta TCP 996, attraverso cui il computer si connette al server FTP della macchina infetta e scarica una copia del worm. Il suo nome ? composto da 4 o 5 caratteri seguiti da _up.exe.
Worm/Sasser.B is an Internet worm that spreads by exploiting a known Windows LSASS (Local Security Authority Subsystem Service) vulnerablility. This vulnerability allows for complete control of an affected system and allows someone with malicious intent to execute code of their choice on the compromised system.
The worm copies itself into the Windows listing as AVSERVE2.EXE |
| |
Consigli: |
Gli utenti dei sistemi operativi colpiti dovrebbero gi? avere aggiornato il proprio Windows ma chi non lo avesse fatto pu? procedere a partire dalla pagina Web messa a punto da Microsoft per descrivere e curare la vulnerabilit? sfruttata da Sasser e Sasser.B:
www.microsoft.com/technet/security/bulletin/MS04-011.mspx
La stessa Microsoft ha messo a disposizione un sistema di scansione per vedere direttamente online se si ? colpiti da Sasser:
www.microsoft.com/security/incident/sasser.asp |
| |
|
|
| |
Link Utili: |
http://punto-informatico.it/salvapc/index.asp |
| |
|
http://www.centralcommand.com/virus_descriptions.html |
|
|
|
