SASSER WORM - Ti Elimino

Naviga SWZ: Home Page » Articoli
Articolo del 04 Maggio 03 Autore: Eymerich
Categoria: sicurezza
11 - Commento/i sul Forum
CHI E´ E COSA FA

Vi avevamo avvisati per tempo dell´aggiornamento Microsoft (*) e di quanto stava per succedere. Se avete errori ricorrenti con lsass.exe significa che non siete stati previdenti e che siete alle prese con un nuovo internet worm di ampia diffusione.

Descrizione :

W32/Sasser.worm.a (McAfee) Identificato il 30 aprile 2004Alias :W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) W32/Sasser-A (Sophos)OS interessati :

  • Windows 2000
  • Windows XP
  • Windows Server 2003 (non in modo diretto)


    Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l´esecuzione di codice ostile sulla macchina bersaglio.Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell´utente vittima : si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445.


    Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l´esecuzione del worm.L´host infetto accetterà il traffico sulla porta TCP 5554.Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:WINDOWSsystem3211583_up.exe ).Sintomi principali :


  • Errori in LSA Shell e nel processo LSASS.EXE (con conseguente riavvio del sistema)Arresto invocato da NT AUTHORITYSYSTEM col messaggio uguale o simile a questo :"Il processo di sistema C:WINDOWSsystem32lsass.exe" è terminato in modo non previsto con codice di stato - 1073741819. Il sistema sarà chiuso e riavviato





  • Presenza del file avserve.exe nella directory di Windows
  • Presenza di questa chiave di registro :HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi avserve.exe e quelli denominati da sequenza numerica, eliminate la chiave di registro ed applicate subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).Usate un removal tool per rimuovere Sasser automaticamente, disabilitando prima e comunque il Ripristino di configurazione di sistema.Varianti :
  • W32/Sasser.worm.b - W32/Sasser.worm.cLe differenze sono minime : il nome del file è AVSERVE2.EXEUsare il tool di rimozione Stinger o Symantec.
  • W32/Sasser.worm.dLe differenze sono minime : il nome del file è SKYNETAVE.EXEUsare il tool di rimozione Symantec o Panda.

    [  [1] 2     Successiva »   ]

    Pagine Totali: 2
  • La Community di SWZone.it

    La community con le risposte che cerchi ! Partecipa é gratis !
    Iscrizione ForumIscriviti al Forum

    Newsletter

    Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
    Iscrizione NewsletterIscriviti alla Newsletter