Descrizione breve
Sasser è un Internet worm che si propaga sfruttando la vulnerabilità descritta nel bollettino Microsoft MS04-11 (LSASS).
Questo bug è causato da un buffer overflow nel modulo Local Security Authority Subsystem Service (LSASS) ed è presente su i computer che utilizzano;
- Windows XP o Windows 2000
- Non sono stati aggiornati per correggere questo problema
- Sono connessi direttamente ad Internet senza la protezione di un firewall opportunamente configurato
Per maggiori informazioni su questo bug è possibile consultare il bollettino di Microsoft
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
È consigliato di eseguire Windows Update per aggiornare i propri sistemi.
Una indicazione dell'infezione è la presenza del file 'C:\win.log' e frequenti crash di 'LSASS.EXE'.
Sasser genera traffico sulle porte TCP 445, 5554 e 9996.
Disinfezione manuale
È possibile rimuovere manualmente Sasser: per prima cosa, è necessario applicare la patch di Microsoft MS04-11. Occorre poi usare il Task Manager per bloccare il processo "avserve.exe" e cancellare il file AVSERVE.EXE dalla directory di Windows. Infine, riavviare il sistema.
Descrizione dettagliata
Sasser è stato scritto in Visual C++ e si diffonde in un singolo eseguibile, compattato e protetto con diverse metodologie.
Infezione
Quando Sasser infetta un sistema crea una copia di stesso nella cartella di Windows con il nome 'avserve.exe'. Questo file è aggiunto al registro di windows
[SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%WinDir%\avserve.exe"
Sasser crea un mutex di nome 'Jobaka3l' per assicurarsi che solo una copia alla volta sia in esecuzione.
Diffusione via rete
Sasser sfrutta la vulnerabilit à descritta in MS04-011 (LSASS) per accedere ai sistemi remoti. Il worm esegue 128 thread che cercano sistemi vulnerabili effettuando una scansione di indirizzi IP casuale. Per verificare se un sistema è vulnerabile viene controllata la porta 445.
Quando attacca un computer Sasser determina prima il sistema operativo per usare i parametri giusti.
Parametri diversi sono usati per:
- Windows XP (exploit universale)
- Windows 2000 (exploit universale)
- Windows 2000 Advanced Server (exploit per SP4)
Se l'attacco ha successo una shell è messa in ascolto sulla porta 9996. Attraverso questa shell Sasser invia i comandi per effettuare il download del worm dal computer infetto utilizzando il protocollo FTP. Un server FTP è in ascolto sulla porta 5554 di tutti i computer infetti. I trasferimenti tramite FTP sono loggati nel file 'C:\win.log'.
Elenco delle porte usate da Sasser:
445/TCP: - Il worm usa questa porta per effettuare l'attacco.
5554/TCP: - server FTP in ascolto sui sistemi infetti
9996/TCP: - Shell remota aperta sfruttando la vulnerabilità in LSASS
Vulnerabilità sfruttata
Il bug usato da Sasser è causato da un buffer overflow all'interno del servizio Local Security Authority Subsystem presente nei sistemi della famiglia NT.
Informazioni dettagliate e consigli su come proteggersi sono presenti in:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Rilevazione
F-Secure Anti-Virus rileva il worm Sasser con gli aggiornamenti rilasciati il 1 Maggio 2004
