My SWZ Login Area

User

Psw

Nuovo utente? Registrati

Le News del Giorno

Non sono ancora state pubblicate nuove news.

Visualizza Tutte le News di SWZone.it

La Community di SWZone.it

La community con
tutte le risposte
che cerchi!
Partecipa è gratis !

Iscriviti al Forum

Vuoi ricevere tutti
gli aggiornamenti di
SWZone direttamente
via e-mail?

La Newsletter

01

Mag 04

W32/Sasser.worm

Autore : Eymerich

181724 letture

Categoria: Sicurezza

Voto:

Vi avevamo avvisati per tempo dell'aggiornamento Microsoft (*) e di quanto stava per succedere. Se avete errori ricorrenti con lsass.exe significa che non siete stati previdenti e che siete alle prese con un nuovo internet worm di ampia diffusione. Descrizione : W32/Sasser.worm.a (McAfee) Identificato il 30 aprile 2004 Alias : W32.Sasser.Worm (Symantec) W32/Sasser.A (F-Secure) W32/Sasser-A (Sophos) OS interessati :

Windows 2000

Windows XP

Windows Server 2003 (non in modo diretto) Il worm sfrutta una vulnerabilità dei sistemi operativi non aggiornati, che tramite un sovraccarico di buffer permette l'esecuzione di codice ostile sulla macchina bersaglio. Non si diffonde via mail nè ha bisogno di alcuna azione da parte dell'utente vittima : si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Non appena identifica un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima : servirà ad attivare un semplice server ftp che permetterà il download e l'esecuzione del worm. L'host infetto accetterà il traffico sulla porta TCP 5554. Sasser si replica nella directory di sistema creando eseguibili col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe ( ad esempio c:\WINDOWS\system32\11583_up.exe ). Sintomi principali :

Errori in LSA Shell e nel processo LSASS.EXE (con conseguente riavvio del sistema) Arresto invocato da NT AUTHORITY\SYSTEM col messaggio uguale o simile a questo : "Il processo di sistema C:\WINDOWS\system32\lsass.exe" è terminato in modo non previsto con codice di stato - 1073741819. Il sistema sarà chiuso e riavviato

Presenza del file avserve.exe nella directory di Windows

Presenza di questa chiave di registro : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "avserve.exe" = C:\WINDOWS\avserve.exe Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi avserve.exe e quelli denominati da sequenza numerica, eliminate la chiave di registro ed applicate subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall ( ICF per gli utenti di XP). Usate un removal tool per rimuovere Sasser automaticamente, disabilitando prima e comunque il Ripristino di configurazione di sistema. Varianti :

W32/Sasser.worm.b - W32/Sasser.worm.c Le differenze sono minime : il nome del file è AVSERVE2.EXE Usare il tool di rimozione Stinger o Symantec.

W32/Sasser.worm.d Il nome del file è SKYNETAVE.EXE Usare il tool di rimozione Stinger, Symantec o Panda.

W32/Sasser.worm.e Il nome del file è LSASSS.EXE Usare il tool di rimozione Stinger, Symantec o Microsoft.

W32/Sasser.worm.f Il nome del file è NAPATCH.EXE Usare il tool di rimozione Stinger o Microsoft.

W32/Sasser.worm.g Il nome del file è AVSERVE3.EXE (*) MS04-011 Aggiornamento della protezione per Windows (KB835732) Download diretto della patch in italiano: