 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 1 Maggio 2004 |
| NOME: Sasser |
| DIMENSIONE: 15872 bytes |
Tool di disinfezione F-Secure ha rilasciato un tool di disinfezione disponibile al download ai seguenti link
ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip Istruzioni per la disinfezione sono disponibili al seguente link: http://www.f-secure.com/tools/f-sasser.txt
Disinfezione manuale Per eliminare il worm Sasser da un computer infetto e' necessario applicare
prima di tutto la patch Microsoft MS04-011. Successivamente e' necessario
terminare, utilizzando il Task Manager, il processo associato all'infezione
("avserve.exe") ed eliminare il file AVSERVE.EXE dalla directory
di Windows. Al termine di queste operazioni si consiglia di eseguire un
reboot del computer. Descrizione breve Sasser è un Internet worm che si propaga sfruttando la vulnerabilità descritta nel bollettino Microsoft MS04-11 (LSASS). Questo bug è causato da un buffer overflow nel modulo Local Security Authority Subsystem Service (LSASS) ed è presente su i computer che utilizzano: - Windows XP o Windows 2000 Per maggiori informazioni su questo bug è possibile consultare il bollettino di Microsoft http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx È consigliato di eseguire Windows Update per aggiornare i propri sistemi. Una indicazione dell'infezione è la presenza del file'C:\win.log' e frequenti crash di 'LSASS.EXE'. Sasser genera traffico sulle porte TCP 445, 5554 e 9996. Descrizione dettagliata Sasser è stato scritto in Visual C++ e si diffonde in un singolo eseguibile, compattato e protetto con diverse metodologie. Infezione Quando Sasser infetta un sistema crea una copia di se stesso nella cartella di Windows con il nome 'avserve.exe'. Questo file è aggiunto al registro di windows [SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Sasser crea un mutex di nome 'Jobaka3l' per assicurarsi che solo una copia alla volta sia in esecuzione. Diffusione via rete Sasser sfrutta la vulnerabilità descritta in MS04-011 (LSASS) per accedere ai sistemi remoti. Il worm esegue 128 thread che cercano sistemi vulnerabili effettuando una scansione di indirizzi IP casuale. Per verificare se un sistema è vulnerabile viene controllata la porta 445. Quando attacca un computer Sasser determina prima il sistema operativo per usare i parametri giusti. Parametri diversi sono usati per: - Windows XP (exploit universale) Se l'attacco ha successo una shell è messa in ascolto sulla porta 9996. Attraverso questa shell Sasser invia i comandi per effettuare il download del worm dal computer infetto utilizzando il protocollo FTP. Un server FTP è in ascolto sulla porta 5554 di tutti i computer infetti. I trasferimenti tramite FTP sono loggati nel file 'C:\win.log'. Elenco delle porte usate da Sasser: 445/TCP: - Il worm usa questa porta per effettuare l'attacco. 5554/TCP: - server FTP in ascolto sui sistemi infetti. 9996/TCP: - Shell remota aperta sfruttando la vulnerabilità in LSASS. Vulnerabilità sfruttata Il bug usato da Sasser è causato da un buffer overflow all'interno del servizio Local Security Authority Subsystem presente nei sistemi della famiglia NT. Informazioni dettagliate e consigli su come proteggersi sono presenti in: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx Rilevazione F-Secure Anti-Virus rileva il worm Sasser con gli aggiornamenti rilasciati il 1 Maggio 2004 [AV_Database_Version]
Descrizione aggiornata il 4 Maggio 2004 NAME: Sasser.B Questa variante del worm Sasser rilascia un file dal nome AVSERVE2.EXE al posto di AVSERVE.EXE e genera un file di log dal nome WIN2.LOG al posto di WIN.LOG.
Descrizione aggiornata il 4 Maggio 2004 NAME: Sasser.C La principale differenza di questa variante rispetto alle precedenti consiste nel fatto che vengono generati 1024 processi (al posto dei 128 delle varianti A e B) per scandire la rete alla ricerca di host vulnerabili. |