Cerca Ricerca Avanzata | RSS rss

HOME

FORUM

NEWS

WINDOWS

VIDEOGAMES

H.W.

LINUX

SICUREZZA

MULTIMEDIA

D.I.

P2P e WEB

TRUCCHI

TRADUZIONI

La Community di SWZone.it
La community con
tutte le risposte
che cerchi!
Partecipa è gratis !
Iscriviti al Forum 
Vuoi ricevere tutti
gli aggiornamenti di
SWZone direttamente
via e-mail?
La Newsletter 
04
Mag 04

SASSER WORM - Ti Elimino

Autore : Eymerich
39900 letture

CHI E' E COSA FA Vi avevamo avvisati per tempo dell'aggiornamento Microsoft (*) e di quanto stava per succedere. Se avete errori ricorrenti con lsass.exe significa che non siete stati previdenti e che siete alle prese con un nuovo internet worm di ampia diffusione. Descrizione : W32/Sasser.worm.a (McAfee) Identificato il 30 aprile 2004 Alias : W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) W32/Sasser-A (Sophos) OS interessati :

  • Windows 2000
  • Windows XP
  • Windows Server 2003 (non in modo diretto) Il worm sfrutta una vulnerabilitā dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio. Non si diffonde via mail nč ha bisogno di alcuna azione da parte dell'utente vittima : si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirā ad attivare un semplice server ftp che permetterā il download e l'esecuzione del worm. L'host infetto accetterā il traffico sulla porta TCP 5554. Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:\WINDOWS\system32\11583_up.exe ). Sintomi principali :
  • Errori in LSA Shell e nel processo LSASS.EXE (con conseguente riavvio del sistema) Arresto invocato da NT AUTHORITY\SYSTEM col messaggio uguale o simile a questo : "Il processo di sistema C:\WINDOWS\system32\lsass.exe" č terminato in modo non previsto con codice di stato - 1073741819. Il sistema sarā chiuso e riavviato
  • Presenza del file avserve.exe nella directory di Windows
  • Presenza di questa chiave di registro : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "avserve.exe" = C:\WINDOWS\avserve.exe Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi avserve.exe e quelli denominati da sequenza numerica, eliminate la chiave di registro ed applicate subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP). Usate un removal tool per rimuovere Sasser automaticamente, disabilitando prima e comunque il Ripristino di configurazione di sistema. Varianti :
  • W32/Sasser.worm.b - W32/Sasser.worm.c Le differenze sono minime : il nome del file č AVSERVE2.EXE Usare il tool di rimozione Stinger o Symantec.
  • W32/Sasser.worm.d Le differenze sono minime : il nome del file č SKYNETAVE.EXE Usare il tool di rimozione Symantec o Panda.



    • Ultime dal Forum
    Forum Index 

    Utilizzo del servizio | Chi siamo | Pubblicità | Links | Compatibilità | Netiquette

    E' vietata la riproduzione, anche solo in parte, di contenuti e grafica. Copyright 2001 - 2009 - P.Iva: 06207300960
    L'editore non si assume nessuna responsabilitā nel caso di errori eventualmente contenuti nelle pubblicazioni. Server in uso: Apollo - Utenti collegati: 181