Virtuality
ASSISTENZA PERSONAL COMPUTER E RETI AZIENDALI
"Loro" li vendono...... Noi li facciamo funzionare
!!!
Virtuality
By Ennio Ciano
AGGIORNAMENTO WINDOWS XP ANTI SASSER
AGGIORNAMENTO WINDOWS XP ANTI BLASTER
INFORMAZIONI SUL WORM SASSER
FATE QUESTI AGGIORNAMENTI
TOOL DI RIMOZIONE SASSER A-D WINDOWS TUTTE LE VERSIONI
Sasser.B Data di scoperta: sabato 1 maggio 2004 Tipo: Worm Rischio: Alto Trasmissione del virus: Rete Internet Dimensioni del file: 16 KByte Fonte: Symantec Piattaforma colpita: Windows Danni: Apertura Backdoor per esecuzione codice nocivo; consumo risorse del computer e banda; possibili riavvii Rimozione: Tool di Rimozione Microsoft, Tool di Rimozione Symantec In Breve: Derivato direttamente dal worm Sasser, sfrutta la vulnerabilità LSASS divulgata da Microsoft lo scorso 13 aprile per infettare i computer e propagarsi. Solo sui computer Windows 2000 e Windows XP, apre alcune porte per eseguire codice nocivo e causa il riavvio del computer colpito. Non invia nessuna mail. Sebbene non inviino nessuna e-mail, i computer infetti sono in balia dell'autore del worm che può o potrà eseguire in futuro sulle macchine infette qualsiasi operazione. Attivazione: Non è necessario cliccare su nessun allegato per essere infettati da questo worm. Il worm si esegue sui computer che non hanno provveduto ad aggiornare Microsoft Windows con le patch del bollettino MS04-011 dello scorso aprile. Azioni: Il worm, dopo l'attivazione, compie le seguenti operazioni: Copia se stesso nella directory di Windows con il nome avserve2.exe. Causa il riavvio del computer Apre tre backdoor sulle porte 445, 5554, 9996 (TCP) Attraverso queste porte si attiva e cerca altri computer vulnerabili e invia loro il codice nocivo Il processo di propagazione avviene secondo questa filiera. A ritmi di decine di computer al secondo, il worm cerca sulla rete i computer che hanno aperta la porta 445 TCP. Nel caso fosse aperta e il sistema fosse vulnerabile, il worm tenta di eseguire il proprio codice nocivo sul computer (il codice nocivo viene eseguito solamente se al computer aggredito non sono state applicate le patch del bollettino MS04-11 (o da Windows Update oppure dai link forniti nella pagina del bollettino). Il codice eseguito sul computer non protetto apre una comunicazione sulla porta 9996. Attraverso questa porta, Sasser.B invia dell'altro codice che a sua volta apre un server FTP minimale sulla porta 5554. Attraverso questo server FTP, che rimane acceso anche al riavvio del computer, viene inviato al computer aggredito il codice del Worm. Attraverso la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run il file avserve2.exe viene attivato ad ogni avvio di Windows.
