|
|||||||
Descrizione breve
Sasser è un Internet worm che si propaga sfruttando la vulnerabilità descritta nel bollettino Microsoft MS04-11 (LSASS). Questo bug è causato da un buffer overflow nel modulo Local Security Authority Subsystem Service (LSASS) ed è presente su i computer che utilizzano; - Windows XP o Windows 2000 - Non sono stati aggiornati per correggere questo problema - Sono connessi direttamente ad Internet senza la protezione di un firewall opportunamente configurato Per maggiori informazioni su questo bug è possibile consultare il bollettino di Microsoft http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx È consigliato di eseguire Windows Update per aggiornare i propri sistemi. Una indicazione dell'infezione è la presenza del file 'C:\win.log' e frequenti crash di 'LSASS.EXE'. Sasser genera traffico sulle porte TCP 445, 5554 e 9996. Disinfezione manuale È possibile rimuovere manualmente Sasser: per prima cosa, è necessario applicare la patch di Microsoft MS04-11. Occorre poi usare il Task Manager per bloccare il processo "avserve.exe" e cancellare il file AVSERVE.EXE dalla directory di Windows. Infine, riavviare il sistema. Descrizione dettagliata Sasser è stato scritto in Visual C++ e si diffonde in un singolo eseguibile, compattato e protetto con diverse metodologie. Infezione Quando Sasser infetta un sistema crea una copia di stesso nella cartella di Windows con il nome 'avserve.exe'. Questo file è aggiunto al registro di windows [SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avserve.exe" = "%WinDir%\avserve.exe" Sasser crea un mutex di nome 'Jobaka3l' per assicurarsi che solo una copia alla volta sia in esecuzione. Diffusione via rete Sasser sfrutta la vulnerabilit à descritta in MS04-011 (LSASS) per accedere ai sistemi remoti. Il worm esegue 128 thread che cercano sistemi vulnerabili effettuando una scansione di indirizzi IP casuale. Per verificare se un sistema è vulnerabile viene controllata la porta 445. Quando attacca un computer Sasser determina prima il sistema operativo per usare i parametri giusti. Parametri diversi sono usati per: - Windows XP (exploit universale) - Windows 2000 (exploit universale) - Windows 2000 Advanced Server (exploit per SP4) Se l'attacco ha successo una shell è messa in ascolto sulla porta 9996. Attraverso questa shell Sasser invia i comandi per effettuare il download del worm dal computer infetto utilizzando il protocollo FTP. Un server FTP è in ascolto sulla porta 5554 di tutti i computer infetti. I trasferimenti tramite FTP sono loggati nel file 'C:\win.log'. Elenco delle porte usate da Sasser: 445/TCP: - Il worm usa questa porta per effettuare l'attacco. 5554/TCP: - server FTP in ascolto sui sistemi infetti 9996/TCP: - Shell remota aperta sfruttando la vulnerabilità in LSASS Vulnerabilità sfruttata Il bug usato da Sasser è causato da un buffer overflow all'interno del servizio Local Security Authority Subsystem presente nei sistemi della famiglia NT. Informazioni dettagliate e consigli su come proteggersi sono presenti in: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx Rilevazione F-Secure Anti-Virus rileva il worm Sasser con gli aggiornamenti rilasciati il 1 Maggio 2004
Iencenelli ha scritto:
> Questo bug è causato da un buffer overflow nel modulo Local > Security Authority Subsystem Service (LSASS) ed è presente su i > computer che utilizzano; > > - Windows XP o Windows 2000 Ma allora la soluzione è semplice:basta reinstallare Windows 98!!
azz... e il 98 è il migliore x me... vabbè meno male mi son appena messo il linux... sperem
enryb ha scritto:
> azz... e il 98 è il migliore x me... Insomma... è un vero e proprio colabrodo di bug! Cordialmente, nad bukato (accarezza i colori) ----------
Bè nad,perlomeno si suppone che le nuove infestazioni siano dirette verso i nuovi OS e ciò li rende + facili da proteggere...
Spiacente, solo gli utenti registrati possono intervenire. Cosa aspetti a registrarti?
|
|
CellularItalia © 1999-2022 - P.IVA 01168620993 - Tutti i diritti riservati |