Cerca Ricerca Avanzata | RSS rss

HOME

FORUM

B2B

NEWS

WINDOWS

VIDEOGAMES

H.W.

LINUX

SICUREZZA

MULTIMEDIA

D.I.

P2P e WEB

TRUCCHI

TRADUZIONI

Le News del Giorno
Non sono ancora state pubblicate nuove news.

Visualizza Tutte le News di SWZone.it 
La Community di SWZone.it
La community con
tutte le risposte
che cerchi!
Partecipa è gratis !
Iscriviti al Forum 
Vuoi ricevere tutti
gli aggiornamenti di
SWZone direttamente
via e-mail?
La Newsletter 
04
Mag 04

SASSER WORM - Ti Elimino

Autore : Eymerich
40660 letture

CHI E´ E COSA FA

Vi avevamo avvisati per tempo dell´aggiornamento Microsoft (*) e di quanto stava per succedere. Se avete errori ricorrenti con lsass.exe significa che non siete stati previdenti e che siete alle prese con un nuovo internet worm di ampia diffusione.

Descrizione :

W32/Sasser.worm.a (McAfee) Identificato il 30 aprile 2004Alias :W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) W32/Sasser-A (Sophos)OS interessati :

  • Windows 2000
  • Windows XP
  • Windows Server 2003 (non in modo diretto)


    Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l´esecuzione di codice ostile sulla macchina bersaglio.Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell´utente vittima : si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445.


    Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l´esecuzione del worm.L´host infetto accetterà il traffico sulla porta TCP 5554.Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:\WINDOWS\system32\11583_up.exe ).Sintomi principali :


  • Errori in LSA Shell e nel processo LSASS.EXE (con conseguente riavvio del sistema)Arresto invocato da NT AUTHORITY\SYSTEM col messaggio uguale o simile a questo :"Il processo di sistema C:\WINDOWS\system32\lsass.exe" è terminato in modo non previsto con codice di stato - 1073741819. Il sistema sarà chiuso e riavviato


  • Presenza del file avserve.exe nella directory di Windows
  • Presenza di questa chiave di registro :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi avserve.exe e quelli denominati da sequenza numerica, eliminate la chiave di registro ed applicate subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).Usate un removal tool per rimuovere Sasser automaticamente, disabilitando prima e comunque il Ripristino di configurazione di sistema.Varianti :
  • W32/Sasser.worm.b - W32/Sasser.worm.cLe differenze sono minime : il nome del file è AVSERVE2.EXEUsare il tool di rimozione Stinger o Symantec.
  • W32/Sasser.worm.dLe differenze sono minime : il nome del file è SKYNETAVE.EXEUsare il tool di rimozione Symantec o Panda.



    • Ultime dal Forum
    Forum Index 

    Utilizzo del servizio | Chi siamo | Pubblicità | Links | Compatibilità | Netiquette

    E' vietata la riproduzione, anche solo in parte, di contenuti e grafica. Copyright 2001 - 2009 - P.Iva: 06207300960
    L'editore non si assume nessuna responsabilità nel caso di errori eventualmente contenuti nelle pubblicazioni. Server in uso: Apollo - Utenti collegati: 74