W32/Sasser.worm (McAfee)
Identificato il 30 aprile 2004
Alias :
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)
W32/Sasser-A (Sophos)
OS interessati : Windows 2000, XP , 2003
Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio.
Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima : il worm si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l'esecuzione del worm.
L'host infetto accetterà il traffico sulla porta TCP 5554.
Sintomi principali :
# Errori nel processo LSASS.EXE (con conseguente riavvio del sistema)
Arresto invocato da NT AUTHORITYSYSTEM col messaggio "Il processo di sistema C:WINDOWSsystem32lsass.exe" è terminato in modo non previsto...
# Presenza del file avserve.exe nella directory di Windows
# Presenza di questa chiave di registro :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run "avserve.exe" = C:WINDOWSavserve.exe
Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:WINDOWSsystem3211583_up.exe ).
Terminare dal task manager i processi avserve.exe e quelli denominati da sequenza numerica, eliminare la chiave di registro ed applicare subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).
Usate un removal tool per rimuovere Sasser, disabilitando prima l'utilità di ripristino di configurazione.
Aggiornamento della protezione per Windows (KB835732)
Windows 2000
http://download.microsoft.com/download/ ... 86-ITA.EXE
Windows XP
http://download.microsoft.com/download/ ... 86-ITA.EXE
Windows Server 2003
http://download.microsoft.com/download/ ... 86-ITA.EXE
Removal tools :
McAfee Stinger 2.23
http://vil.nai.com/vil/stinger
Grazie a BlackDragon di un altro forum dal quale ho "scopiazziato" questo post
