{ATTENZIONE!!!} W32/Sasser.worm
Sezione libera dove si può parlare di quello che si vuole, ovviamente senza esagerare!
Moderatore: Staff Sicurauto.it
- ntc_silver
- Rank: Patentato attento
- Messaggi: 159
- Iscritto il: 08/04/2004, 18:35
- Località: Brindisi
{ATTENZIONE!!!} W32/Sasser.worm
Messaggio da ntc_silver » 03/05/2004, 18:19
Descrizione :
W32/Sasser.worm (McAfee)
Identificato il 30 aprile 2004
Alias :
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)
W32/Sasser-A (Sophos)
OS interessati : Windows 2000, XP , 2003
Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio.
Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima : il worm si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l'esecuzione del worm.
L'host infetto accetterà il traffico sulla porta TCP 5554.
Sintomi principali :
# Errori nel processo LSASS.EXE (con conseguente riavvio del sistema)
Arresto invocato da NT AUTHORITYSYSTEM col messaggio "Il processo di sistema C:WINDOWSsystem32lsass.exe" è terminato in modo non previsto...
# Presenza del file avserve.exe nella directory di Windows
# Presenza di questa chiave di registro :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run "avserve.exe" = C:WINDOWSavserve.exe
Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:WINDOWSsystem3211583_up.exe ).
Terminare dal task manager i processi avserve.exe e quelli denominati da sequenza numerica, eliminare la chiave di registro ed applicare subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).
Usate un removal tool per rimuovere Sasser, disabilitando prima l'utilità di ripristino di configurazione.
Aggiornamento della protezione per Windows (KB835732)
Windows 2000
http://download.microsoft.com/download/ ... 86-ITA.EXE
Windows XP
http://download.microsoft.com/download/ ... 86-ITA.EXE
Windows Server 2003
http://download.microsoft.com/download/ ... 86-ITA.EXE
Removal tools :
McAfee Stinger 2.23
http://vil.nai.com/vil/stinger
Grazie a BlackDragon di un altro forum dal quale ho "scopiazziato" questo post
W32/Sasser.worm (McAfee)
Identificato il 30 aprile 2004
Alias :
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)
W32/Sasser-A (Sophos)
OS interessati : Windows 2000, XP , 2003
Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio.
Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima : il worm si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l'esecuzione del worm.
L'host infetto accetterà il traffico sulla porta TCP 5554.
Sintomi principali :
# Errori nel processo LSASS.EXE (con conseguente riavvio del sistema)
Arresto invocato da NT AUTHORITYSYSTEM col messaggio "Il processo di sistema C:WINDOWSsystem32lsass.exe" è terminato in modo non previsto...
# Presenza del file avserve.exe nella directory di Windows
# Presenza di questa chiave di registro :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run "avserve.exe" = C:WINDOWSavserve.exe
Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:WINDOWSsystem3211583_up.exe ).
Terminare dal task manager i processi avserve.exe e quelli denominati da sequenza numerica, eliminare la chiave di registro ed applicare subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).
Usate un removal tool per rimuovere Sasser, disabilitando prima l'utilità di ripristino di configurazione.
Aggiornamento della protezione per Windows (KB835732)
Windows 2000
http://download.microsoft.com/download/ ... 86-ITA.EXE
Windows XP
http://download.microsoft.com/download/ ... 86-ITA.EXE
Windows Server 2003
http://download.microsoft.com/download/ ... 86-ITA.EXE
Removal tools :
McAfee Stinger 2.23
http://vil.nai.com/vil/stinger
Grazie a BlackDragon di un altro forum dal quale ho "scopiazziato" questo post
Ex banner Publy
Messaggio da SicurAUTO » 03/05/2004, 19:34
Bravo ntc_silver
Consiglio anche questo link:
http://news.swzone.it/swznews-10987.php
Io, che oggi ho preso servizio per un contratto a tempo presso ENEL Information Technology, ho combattutto tutto il giorno con questo Worm del cavolo!!
Una rete di migliaia di server buttati giù... ho lavorato sino a quasi le 8... come primo giorno non c'è male!
E ci sono stati colleghi che sono a lavoro da sta notte alle 2!
Ps: cmq la colpa è sempre degli ADMIN che non si preoccupano proprio della sicurezza... basterebbe un bel SMS o SUS gestito bene per evitare tutto questo... io per fortuna sono diverso...
Consiglio anche questo link:
http://news.swzone.it/swznews-10987.php
Io, che oggi ho preso servizio per un contratto a tempo presso ENEL Information Technology, ho combattutto tutto il giorno con questo Worm del cavolo!!
Una rete di migliaia di server buttati giù... ho lavorato sino a quasi le 8... come primo giorno non c'è male!
E ci sono stati colleghi che sono a lavoro da sta notte alle 2!
Ps: cmq la colpa è sempre degli ADMIN che non si preoccupano proprio della sicurezza... basterebbe un bel SMS o SUS gestito bene per evitare tutto questo... io per fortuna sono diverso...
- docmad
- Sostenitore Sicurauto
- Messaggi: 698
- Iscritto il: 23/03/2004, 18:59
- Località: Genova - Parma
- Contatta:
Messaggio da docmad » 03/05/2004, 20:25
Evviva la modestia
Ps: cmq la colpa è sempre degli ADMIN che non si preoccupano proprio della sicurezza... basterebbe un bel SMS o SUS gestito bene per evitare tutto questo... io per fortuna sono diverso...
Enrico
Servizi Informatici
<a href="http://www.eca-services.com/" target="_blank">http://www.eca-services.com/</a>
Servizi Informatici
<a href="http://www.eca-services.com/" target="_blank">http://www.eca-services.com/</a>
- luca comandini
- Moderatore
- Messaggi: 2575
- Iscritto il: 19/03/2002, 1:37
- Nome: Luca
- Località: Savignano sul Rubicone, ForlìCesena, Romagna, Italia, Europa, Terra, Sistema Solare, Universo...
- Contatta:
Messaggio da luca comandini » 03/05/2004, 20:50
thanks very much
SicurAUTO.it - Informazione indipendente per la sicurezza e i consumatori
La più ricca fonte d'informazione sui Crash test, il Codice della Strada, la Garanzia Auto, le News Auto, la Guida Sicura e tanto altro ancora!
Welcome Sweden.... Volvo V40 D2, ex Ypsilon Twinair GPL
La più ricca fonte d'informazione sui Crash test, il Codice della Strada, la Garanzia Auto, le News Auto, la Guida Sicura e tanto altro ancora!
Welcome Sweden.... Volvo V40 D2, ex Ypsilon Twinair GPL
Messaggio da SicurAUTO » 03/05/2004, 21:34
Scherzi a parte... la patch Microsoft era disponibile già dal 14/04!
Il discorso è che in reti geograficamente ENORMI è molto difficile implementare delle politiche di sicurezza valide. Più che altro non è proprio una sciocchezza gestire la distribuzione delle patch per circa 10/15.000 PC...
Certo andando a vedere i dettagli del bulletin Microsoft si vede che le porte usate dal Worm sono ben definite e quindi era bene bloccarle già da subito... ma questo non è stato fatto, peccato
Cmq sia domani mi aspetta un'altra maratona
- alex_ander1979
- Sostenitore Sicurauto
- Messaggi: 725
- Iscritto il: 16/10/2003, 23:25
- Località: Roma
Messaggio da alex_ander1979 » 04/05/2004, 20:37
Win ME è immune ?
cinture allacciate + distanze di sicurezza + agevolarsi a vicenda nel traffico = viaggiare sicuri, tranquilli, anche in velocità !
- ntc_silver
- Rank: Patentato attento
- Messaggi: 159
- Iscritto il: 08/04/2004, 18:35
- Località: Brindisi
Messaggio da SicurAUTO » 05/05/2004, 18:24
Sono attaccati 2000 ed XP... 2003 Server sembra immune... gli altri di sicuro...
Su questo ottimo sito un articolo che spiega come rimuoverlo o provvedere alla risoluzione del problema:
http://news.swzone.it/swznews-11012.php
Su questo ottimo sito un articolo che spiega come rimuoverlo o provvedere alla risoluzione del problema:
http://news.swzone.it/swznews-11012.php
Messaggio da SicurAUTO » 08/05/2004, 10:48
Non pensare che sia molto meglio... solo che per adesso sotto i riflettori ci sono XP/2003... ma anche il 98 ha avuto i suoi bei problemucci...
sempre e cmq WIN98 sui nostri computer
Cmq l'importante è:
- Eseguire sempre e constantemente il Windows update: http://windowsupdate.microsoft.com
- Tenere sempre aggiornato l'antivirus, io consiglio Norton 2003 e non il 2004...
- Abilitare su XP il firewall integrato che, per quanto se ne dica, è già una discreta protezione (rende il PC più o meno "invisibile" sulla rete)
- Eliminare dal Binding dei protocolli relativi alla connessione internet: "Condivisione File e stampanti per reti Microsoft" e "Client per reti Microsoft". Andate nelle proprietà della connessione ad internet e dove vedete i vari protocolli togliete il segno di spunta nei due protocolli sopra riportati. Dovrebbe rimanere solo il TCP/IP ed in caso il QoS se installato.
Con questa ultima modifica vi mettete al sicuro da facili ingressi sul PC
Certo non c'è solo questo da fare ma è già abbastanza
Vai a
- Norme e Ricorsi, Patenti di Guida e Assicurazioni
- ↳ Codice della Strada e Ricorsi multe
- ↳ Incidenti auto o moto, info e problemi con le Assicurazioni
- ↳ Patenti A1, A, B, C, D, E e CAP – Patentino ciclomotore
- AfterMarket Auto - Info Utili sui Ricambi Auto
- Crash Test, Sistemi di sicurezza, Sicurezza Stradale
- ↳ Sistemi di sicurezza attiva e passiva
- ↳ Crash Test Euro NCAP e altri speciali con video
- ↳ Sicurezza stradale, riflessioni, proposte e campagne
- Auto Nuove o Usate
- ↳ Auto NUOVE -» Informazioni su nuove auto e Garanzia
- ↳ Auto USATE -» Aiutiamoci nell'acquisto e problemi di Garanzia
- Consigli per la pulizia dell'auto
- Tecnica, Meccanica e Fai da Te
- ↳ Tecnica, Meccanica e Fai da Te - Discussioni Generali
- ↳ Impianti GPL Auto - Consigli Tecnici e Problemi
- ↳ Pneumatici e catene da neve
- ↳ Auto Italiane - Problemi meccanici
- ↳ Auto Tedesche - Problemi meccanici
- ↳ Auto Francesi - Problemi meccanici
- ↳ Auto Britanniche - Problemi meccanici
- ↳ Auto Orientali - Problemi meccanici
- ↳ Auto del resto d'Europa e del Mondo - Problemi meccanici
- ↳ Codici Errore EOBD - Case automobilistiche
- Video
- ↳ Crash test e Sicurezza - Trasmissione TV
- ↳ Video Youtube
- Varie ed Eventuali
- ↳ O f f - T o p i c
- ↳ Informazioni varie ed utili
- ↳ Suggerimenti, commenti e annunci su Sicurauto.it
- ↳ Area Moderatori
Chi c’è in linea
Visitano il forum: Nessuno e 14 ospiti
- Indice
- Tutti gli orari sono UTC+01:00
- Cancella cookie
- Iscritti
- Staff