Allarme Sasser: restart di sistema assicurato!

Sasser è un nuovo virus worm scoperto il 1 Maggio che sfruttando una recente vulnerabilità di Internet Explorer, provoca ripetuti reboot della macchina infetta.
Al momento pare che Sasser non abbia effetti distruttivi, anzi alcuni specialisti hanno definito il suo codice "scritto male"; il passato ci ha però abituato a non sottovalutare questo genere di alert, infatti alla scoperta di un worm seguono svariate versioni aggiornate, raffinate e sempre più pericolose.

Una volta che il pc è "infettato" da Sasser, quest'ultimo mette in atto alcune misure grazie a cui potrà diffondersi ed operare, provvede infatti a duplicarsi nella cartella che Windows crea di default per l'installazione ed aggiunge alcune informazioni al registro di configurazione grazie alle quali si garantisce l'esecuzione ad ogni riavvio del sistema.

Dopo essersi garantito il "futuro", Sasser pensa al presente... e sfruttando una API (più precisamente il codice relativo alla AbortSystemShutdown), provvede a riavviare il sistema e l'utente perderà ovviamente i dati non salvati!

Sasser è in grado di attivare un server FTP sulla porta 5554, grazie a questo canale altri sistemi potranno prelevare in codice del worm.
Il sistema infetto cercherà di connettersi attraverso il protocollo TCP e la porta 445 ad alcuni indirizzi IP generati in modo random; qualora questi IP rispondessero alla chiamata instaurando una connessione con pc infetto, riceveranno del codice che aprirà una connessione FTP al server precedentemente attivato sul pc "untore".

Ulteriori informazioni sono disponibili a questo indirizzo.

Al momento di scrivere si ha notizia di una seconda variante disponibile, le cui uniche differenze sembrano essere solo i nomi di alcuni files interni; probabilmente un tentativo di aggirare i controlli antivirus aggiornati alla vecchia versione di worm. Una terza variante differisce per altre minime caratteristiche, ma è già stata individuata ed esiste un removal tool dedicato.

I pc a rischio sono essenzialmente tutti quelli con sistema operativo Windows (2000, XP e 2003) installato e non aggiornato con gli update di sicurezza rilasciati l' 11 Aprile scorso.

Pur non avendo dimostrato una enorme pericolosità, Sasser crea qualche preoccupazione perchè sfrutta un exploit risolto molto recentemente da Microsoft; è quindi lecito attendersi che parecchi sistemi non siano aggiornati. Il traffico di rete creato dalle varie sessioni FTP e dai tentativi di connessione messi in atto da Sasser, potrebbero diventare un problema in caso di epidemia su larga scala.

Il recente passato ci ha abituato a vedere vere e proprie epidemie in reti aziendali poco sicure...speriamo che le esperienze negative del passato siano servite a qualcosa.

Le raccomandazioni sono sempre le stesse: software antivirus sempre ben configurato, ma anche sistema aggiornato con tutti gli update di sicurezza rilasciati da Microsoft.
Se però qualcosa non ha funzionato... ed il proprio sistema inizia a riavviarsi in modo sospetto, vi segnaliamo la disponibilità di un apposito removal tool.