CHI E´ E COSA FA
Vi
avevamo avvisati per tempo dell´aggiornamento Microsoft (*) e di quanto stava per
succedere. Se avete errori ricorrenti con lsass.exe significa che non siete stati previdenti
e che siete alle prese con un nuovo internet worm di ampia diffusione.
Descrizione :
W32/Sasser.worm.a (McAfee) Identificato il 30 aprile 2004Alias
:W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) W32/Sasser-A (Sophos)OS interessati :
Windows 2000Windows XPWindows Server 2003 (non in modo diretto)
Il worm sfrutta una
vulnerabilità dei sistemi operativi non aggiornati, che tramite un
sovraccarico di buffer permette l´esecuzione di codice ostile sulla macchina bersaglio.Non si
diffonde via mail nè ha bisogno di alcuna azione da parte dell´utente vittima : si propaga mediante
scansione casuale di indirizzi IP sulla porta TCP 445.
Non appena identifica un sistema non
aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima :
servirà ad attivare un semplice server ftp che permetterà il download e l´esecuzione del worm.L´host
infetto accetterà il traffico sulla porta TCP 5554.Sasser si replica nella directory di sistema
creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio
c:\WINDOWS\system32\11583_up.exe ).Sintomi principali :
Errori in LSA
Shell e nel processo LSASS.EXE (con conseguente riavvio del sistema)Arresto invocato da NT
AUTHORITY\SYSTEM col messaggio uguale o simile a questo :"Il processo di sistema
C:\WINDOWS\system32\lsass.exe" è terminato in modo non previsto con codice di stato - 1073741819. Il
sistema sarà chiuso e riavviato

Presenza del file avserve.exe nella directory di Windows
Presenza di questa chiave di
registro :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" =
C:\WINDOWS\avserve.exe Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi
avserve.exe e quelli denominati da sequenza numerica, eliminate la chiave di registro ed applicate
subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).Usate un
removal tool per rimuovere Sasser automaticamente, disabilitando prima e comunque il Ripristino di
configurazione di sistema.Varianti : W32/Sasser.worm.b - W32/Sasser.worm.cLe
differenze sono minime : il nome del file è AVSERVE2.EXEUsare il
tool di rimozione Stinger o Symantec. W32/Sasser.worm.dLe differenze sono minime : il nome del file è SKYNETAVE.EXEUsare il tool di rimozione Symantec o Panda.