W32/Sasser.worm

Naviga SWZ: Home Page » News
News del 01 Maggio 04 Autore: Eymerich
W32/Sasser.worm
Vi avevamo avvisati <b><a href=http://forum.swzone.it/showthread.php?s=&threadid=31540 target=_blank>per tempo</a></b> dell'aggiornamento Microsoft <b>(*)</b> e di quanto stava per succedere. Se avete errori ricorrenti con <b>lsass.exe</b> significa che non siete stati previdenti e che siete alle prese con un nuovo internet worm di ampia diffusione. <b>Descrizione :</b> <b><font color=green>W32/Sasser.worm.a (McAfee) </font></b> Identificato il 30 aprile 2004 <i>Alias</i> : W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) W32/Sasser-A (Sophos) OS interessati : <Li>Windows 2000 <Li>Windows XP <Li>Windows Server 2003 (non in modo diretto) Il worm sfrutta una <b><a href=http://www.eeye.com/html/Research/Advisories/AD20040413C.html target=_blank>vulnerabilità</a></b> dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio. Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima : si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Non appena identifica un sistema <b>non aggiornato e non protetto adeguatamente da firewall</b> crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l'esecuzione del worm. L'host infetto accetterà il traffico sulla porta TCP 5554. Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:WINDOWSsystem3211583_up.exe ). <b>Sintomi principali :</b> <Li> <b><font color=blue>Errori in LSA Shell e nel processo LSASS.EXE (con conseguente riavvio del sistema) Arresto invocato da NT AUTHORITYSYSTEM col messaggio uguale o simile a questo : <i>"Il processo di sistema C:WINDOWSsystem32lsass.exe" è terminato in modo non previsto con codice di stato - 1073741819. Il sistema sarà chiuso e riavviato</i> </font></b> <Li> <b>Presenza del file <font color=green>avserve.exe</font> nella directory di Windows</b> <Li> Presenza di questa chiave di registro : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "avserve.exe" = C:WINDOWSavserve.exe Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi avserve.exe e quelli denominati da sequenza numerica, eliminate la chiave di registro ed applicate subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( <b><a href=http://www.swzone.it/articoli/ICF/ target=_blank>ICF</a></b> per gli utenti di XP). Usate un removal tool per rimuovere Sasser automaticamente, disabilitando prima e comunque il Ripristino di configurazione di sistema. <b>Varianti</b> : <Li> <b><a href=http://vil.nai.com/vil/content/v_125008.htm target=_blank>W32/Sasser.worm.b</a></b> - <b><a href=http://vil.nai.com/vil/content/v_125009.htm target=_blank>W32/Sasser.worm.c</a></b> Le differenze sono minime : il nome del file è <b><font color=green>AVSERVE2.EXE</font></b> Usare il tool di rimozione Stinger o Symantec. <Li> <b><a href=http://vil.nai.com/vil/content/v_125012.htm target=_blank>W32/Sasser.worm.d</a></b> Il nome del file è <b><font color=green>SKYNETAVE.EXE</font></b> Usare il tool di rimozione Stinger, Symantec o Panda. <Li> <b><a href=http://vil.nai.com/vil/content/v_125091.htm target=_blank>W32/Sasser.worm.e</a></b> Il nome del file è <b><font color=green>LSASSS.EXE</font></b> Usare il tool di rimozione Stinger, Symantec o Microsoft. <Li> <b><a href=http://vil.nai.com/vil/content/v_125095.htm target=_blank>W32/Sasser.worm.f</a></b> Il nome del file è <b><font color=green>NAPATCH.EXE</font></b> Usare il tool di rimozione Stinger o Microsoft. <Li> <b><a href=http://vil.nai.com/vil/content/v_127697.htm target=_blank>W32/Sasser.worm.g</a></b> Il nome del file è <b><font color=green>AVSERVE3.EXE</font></b> <b>(*) MS04-011 Aggiornamento della protezione per Windows (KB835732)</b> Download diretto della patch in italiano: <img src=https://www.swzone.it/img/download_trad.gif align=absmiddle> <a href=http://download.microsoft.com/download/6/b/6/6b68ec3d-e68e-4f5d-b72e-048dff149282/Windows2000-KB835732-x86-ITA.EXE target=_blank>Windows 2000</a> (per installare la patch è necessario almeno il Service Pack 2) <img src=https://www.swzone.it/img/download_trad.gif align=absmiddle> <a href=http://download.microsoft.com/download/4/2/9/42988565-9dc5-4027-b4c4-fcbea69e2e5e/WindowsXP-KB835732-x86-ITA.EXE target=_blank>Windows XP</a> <img src=https://www.swzone.it/img/download_trad.gif align=absmiddle> <a href=http://download.microsoft.com/download/2/4/1/2416f7ac-be75-451a-bbc2-0a4b414bf42f/WindowsServer2003-KB835732-x86-ITA.EXE target=_blank>Windows Server 2003</a> <b>(*) Security Update for Microsoft Windows (835732)</b> Direct download english version : <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE target=_blank>Windows 2000</a> (Service Pack 2 or greater required) <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE target=_blank>Windows XP</a> <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://download.microsoft.com/download/4/d/7/4d74d7ae-e1f7-4c0b-b6e3-ed05f5a3c580/WindowsServer2003-KB835732-x86-ENU.EXE target=_blank>Windows Server 2003</a> <b>Removal tools</b> : <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://vil.nai.com/vil/stinger target=_blank>McAfee Stinger</a> A...F <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html target=_blank>Symantec Sasser Removal Tool</a> A...E <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.pandasoftware.com/download/utilities/ target=_blank>Panda QuickRemover</a> A...D <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en target=_blank>Microsoft Sasser Worm Removal Tool</a> A...F <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.bitdefender.com/html/virusinfo.php?menu_id=1&v_id=248# target=_blank>BitDefender</a> A...C <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://www.f-secure.com/tools/f-sasser.zip target=_blank>F-Secure</a> A...C <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=ftp://ftp.kaspersky.com/utils/clrav/clrav.zip target=_blank>Kaspersky</a> A...C <b>Utilità</b> : <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href= target=_blank>Retina Sasser Worm Scanner</a> <b>Ulteriori informazioni</b> : <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.microsoft.com/security/incident/sasser.asp target=_blank>Cosa dovresti sapere su Sasser e le sue varianti</a> (Pagina Microsoft dedicata) <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.microsoft.com/italy/technet/solutions/security/04/ms04_011.asp target=_blank>Bollettino Microsoft sulla sicurezza MS04-011</a> (in italiano) del 13 aprile 2004 <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx target=_blank>Microsoft Security Bulletin MS04-011</a> (english version) April 28, 2004 <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://vil.nai.com/vil/content/v_125007.htm target=_blank>Network Associates</a> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html target=_blank>Symantec</a> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_SASSER.A target=_blank>Trend Micro</a> <font color=blue><font size=1>+++ Last update 01:33 AM August 26, 2004 +++</font></font>
44 - Commento/i sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE