6 maja 2004

Sasser nie potrzebuje wiadomości e-mail

Sasser - robak sieciowy, który pojawił się w ubiegły weekend - znacznie różni się od szkodników wywołujących ostatnie epidemie. W przeciwieństwie do robaków Bagle oraz Netsky nowy szkodnik nie rozprzestrzenia się za pośrednictwem wiadomości e-mail i atakuje komputery bez potrzeby wykonywania jakichkolwiek operacji przez użytkowników.

Sasser działa podobnie jak Lovesan (znany również jako Blaster). Wykorzystuje lukę w zabezpieczeniach usługi LSASS (Local Security Authority Subsystem Service) będącej składnikiem systemów Windows 2000, XP oraz 2003 Server. Zainfekowane komputery wyświetlają komunikat o wystąpieniu błędu i restartują się w momencie nawiązania połączenia z internetem.

Pierwotna wersja Sassera rozprzestrzenia się stosunkowo powoli, gdyż jej kod zawiera wiele błędów. Mimo to liczbę zainfekowanych komputerów szacuje się między 500 000, a 1 000 000. W związku z robakiem ucierpiało wiele korporacji, między innymi Westpac w Australii. Firma Microsoft odnotowała ponad 1,5 miliona wizyt na stronie zawierającej darmowe narzędzie służące do usuwania Sassera.

Informacja o wykryciu luki wykorzystywanej przez Sassera pojawiły się na stronach Microsoftu 13 kwietnia 2004. Robak pojawił się po 18 dniach od tej daty (dla porównania - Blaster potrzebował 30 dni).

Sasser - w porównaniu z Blasterem - rozprzestrzenia się powoli. Mimo to po raz kolejny udowodnił jak wielu użytkowników komputerów na całym świecie nie uaktualnia użytkowanych systemów operacyjnych. Tylko od twórców szkodliwego oprogramowania zależy czy wirus wykorzystujący kolejną lukę w zabezpieczeniach wyrządzi globalne szkody.