{ATTENZIONE!!!} W32/Sasser.worm

Sezione libera dove si può parlare di quello che si vuole, ovviamente senza esagerare! :P

Moderatore: Staff Sicurauto.it

Avatar utente
ntc_silver
Rank: Patentato attento
Rank: Patentato attento
Messaggi: 159
Iscritto il: 08/04/2004, 18:35
Località: Brindisi

{ATTENZIONE!!!} W32/Sasser.worm

Messaggio da ntc_silver » 03/05/2004, 18:19

Descrizione :

W32/Sasser.worm (McAfee)
Identificato il 30 aprile 2004
Alias :
W32.Sasser.Worm (Symantec)
W32/Sasser.A (F-Secure)
W32/Sasser-A (Sophos)

OS interessati : Windows 2000, XP , 2003


Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio.
Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima : il worm si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l'esecuzione del worm.
L'host infetto accetterà il traffico sulla porta TCP 5554.

Sintomi principali :

# Errori nel processo LSASS.EXE (con conseguente riavvio del sistema)
Arresto invocato da NT AUTHORITYSYSTEM col messaggio "Il processo di sistema C:WINDOWSsystem32lsass.exe" è terminato in modo non previsto...


# Presenza del file avserve.exe nella directory di Windows

# Presenza di questa chiave di registro :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run "avserve.exe" = C:WINDOWSavserve.exe

Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:WINDOWSsystem3211583_up.exe ).


Terminare dal task manager i processi avserve.exe e quelli denominati da sequenza numerica, eliminare la chiave di registro ed applicare subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP).
Usate un removal tool per rimuovere Sasser, disabilitando prima l'utilità di ripristino di configurazione.


Aggiornamento della protezione per Windows (KB835732)

Windows 2000
http://download.microsoft.com/download/ ... 86-ITA.EXE

Windows XP
http://download.microsoft.com/download/ ... 86-ITA.EXE

Windows Server 2003
http://download.microsoft.com/download/ ... 86-ITA.EXE

Removal tools :
McAfee Stinger 2.23
http://vil.nai.com/vil/stinger


Grazie a BlackDragon di un altro forum dal quale ho "scopiazziato" questo post :ok

Avatar utente
SicurAUTO
Amministratore
Amministratore
Messaggi: 12052
Iscritto il: 03/04/2002, 6:00
Nome: Claudio
Contatta:

Messaggio da SicurAUTO » 03/05/2004, 19:34

Bravo ntc_silver :ok

Consiglio anche questo link:
http://news.swzone.it/swznews-10987.php

Io, che oggi ho preso servizio per un contratto a tempo presso ENEL Information Technology, ho combattutto tutto il giorno con questo Worm del cavolo!! :grr :grr

Una rete di migliaia di server buttati giù... ho lavorato sino a quasi le 8... come primo giorno non c'è male! :lol:

E ci sono stati colleghi che sono a lavoro da sta notte alle 2! :ooh

Ps: cmq la colpa è sempre degli ADMIN che non si preoccupano proprio della sicurezza... basterebbe un bel SMS o SUS gestito bene per evitare tutto questo... io per fortuna sono diverso... :wink:

:ciao
SicurAUTO.it - Informazione indipendente per la sicurezza e i consumatori
La più ricca fonte d'informazione sui Crash test, il Codice della Strada, la Garanzia Auto, le News Auto, la Guida Sicura e tanto altro ancora! :)

Non perderti i nostri Test su Prodotti e Accessori Auto - Per i Centauri Sicurezza in Moto

Avatar utente
docmad
Sostenitore Sicurauto
Sostenitore Sicurauto
Messaggi: 699
Iscritto il: 23/03/2004, 18:59
Località: Genova - Parma
Contatta:

Messaggio da docmad » 03/05/2004, 20:25


Ps: cmq la colpa è sempre degli ADMIN che non si preoccupano proprio della sicurezza... basterebbe un bel SMS o SUS gestito bene per evitare tutto questo... io per fortuna sono diverso...
Evviva la modestia :D :P :P :P :P
Enrico
Servizi Informatici

<a href="http://www.eca-services.com/" target="_blank">http://www.eca-services.com/</a>

Avatar utente
luca comandini
Moderatore
Moderatore
Messaggi: 2572
Iscritto il: 19/03/2002, 1:37
Nome: Luca
Località: Savignano sul Rubicone, ForlìCesena, Romagna, Italia, Europa, Terra, Sistema Solare, Universo...
Contatta:

Messaggio da luca comandini » 03/05/2004, 20:50

thanks very much :ok :ok
SicurAUTO.it - Informazione indipendente per la sicurezza e i consumatori
La più ricca fonte d'informazione sui Crash test, il Codice della Strada, la Garanzia Auto, le News Auto, la Guida Sicura e tanto altro ancora!

Welcome Sweden.... Volvo V40 D2, ex Ypsilon Twinair GPL

Avatar utente
SicurAUTO
Amministratore
Amministratore
Messaggi: 12052
Iscritto il: 03/04/2002, 6:00
Nome: Claudio
Contatta:

Messaggio da SicurAUTO » 03/05/2004, 21:34

:lol:

Scherzi a parte... la patch Microsoft era disponibile già dal 14/04!
Il discorso è che in reti geograficamente ENORMI è molto difficile implementare delle politiche di sicurezza valide. Più che altro non è proprio una sciocchezza gestire la distribuzione delle patch per circa 10/15.000 PC... :o

Certo andando a vedere i dettagli del bulletin Microsoft si vede che le porte usate dal Worm sono ben definite e quindi era bene bloccarle già da subito... ma questo non è stato fatto, peccato :-[

Cmq sia domani mi aspetta un'altra maratona :wink: :ciao
SicurAUTO.it - Informazione indipendente per la sicurezza e i consumatori
La più ricca fonte d'informazione sui Crash test, il Codice della Strada, la Garanzia Auto, le News Auto, la Guida Sicura e tanto altro ancora! :)

Non perderti i nostri Test su Prodotti e Accessori Auto - Per i Centauri Sicurezza in Moto

Avatar utente
alex_ander1979
Sostenitore Sicurauto
Sostenitore Sicurauto
Messaggi: 725
Iscritto il: 16/10/2003, 23:25
Località: Roma

Messaggio da alex_ander1979 » 04/05/2004, 20:37

Win ME è immune ?
cinture allacciate + distanze di sicurezza + agevolarsi a vicenda nel traffico = viaggiare sicuri, tranquilli, anche in velocità ! :D

Avatar utente
ntc_silver
Rank: Patentato attento
Rank: Patentato attento
Messaggi: 159
Iscritto il: 08/04/2004, 18:35
Località: Brindisi

Messaggio da ntc_silver » 05/05/2004, 8:23

Pare di si, WinME di base ha Win98 8)

Avatar utente
SicurAUTO
Amministratore
Amministratore
Messaggi: 12052
Iscritto il: 03/04/2002, 6:00
Nome: Claudio
Contatta:

Messaggio da SicurAUTO » 05/05/2004, 18:24

Sono attaccati 2000 ed XP... 2003 Server sembra immune... gli altri di sicuro... :ciao

Su questo ottimo sito un articolo che spiega come rimuoverlo o provvedere alla risoluzione del problema:
http://news.swzone.it/swznews-11012.php

:ciao
SicurAUTO.it - Informazione indipendente per la sicurezza e i consumatori
La più ricca fonte d'informazione sui Crash test, il Codice della Strada, la Garanzia Auto, le News Auto, la Guida Sicura e tanto altro ancora! :)

Non perderti i nostri Test su Prodotti e Accessori Auto - Per i Centauri Sicurezza in Moto

Avatar utente
marko
Sostenitore Sicurauto
Sostenitore Sicurauto
Messaggi: 1602
Iscritto il: 20/03/2004, 0:14
Località: Capena (RM)

Messaggio da marko » 07/05/2004, 22:27

sempre e cmq WIN98 sui nostri computer :bong :bong
<b>Mr.Domino</b>
<b>[M+@+(k*2)+0] </b>
IL MIO FORUM

Avatar utente
SicurAUTO
Amministratore
Amministratore
Messaggi: 12052
Iscritto il: 03/04/2002, 6:00
Nome: Claudio
Contatta:

Messaggio da SicurAUTO » 08/05/2004, 10:48


sempre e cmq WIN98 sui nostri computer
Non pensare che sia molto meglio... solo che per adesso sotto i riflettori ci sono XP/2003... ma anche il 98 ha avuto i suoi bei problemucci...

Cmq l'importante è:

- Eseguire sempre e constantemente il Windows update: http://windowsupdate.microsoft.com
- Tenere sempre aggiornato l'antivirus, io consiglio Norton 2003 e non il 2004...
- Abilitare su XP il firewall integrato che, per quanto se ne dica, è già una discreta protezione (rende il PC più o meno "invisibile" sulla rete) :)
- Eliminare dal Binding dei protocolli relativi alla connessione internet: "Condivisione File e stampanti per reti Microsoft" e "Client per reti Microsoft". Andate nelle proprietà della connessione ad internet e dove vedete i vari protocolli togliete il segno di spunta nei due protocolli sopra riportati. Dovrebbe rimanere solo il TCP/IP ed in caso il QoS se installato.

Con questa ultima modifica vi mettete al sicuro da facili ingressi sul PC :ciao
Certo non c'è solo questo da fare ma è già abbastanza :ok
SicurAUTO.it - Informazione indipendente per la sicurezza e i consumatori
La più ricca fonte d'informazione sui Crash test, il Codice della Strada, la Garanzia Auto, le News Auto, la Guida Sicura e tanto altro ancora! :)

Non perderti i nostri Test su Prodotti e Accessori Auto - Per i Centauri Sicurezza in Moto

Rispondi

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti