Allarme Sasser: restart di sistema assicurato!
Sasser è un nuovo virus worm scoperto il 1 Maggio che sfruttando una recente vulnerabilità di Internet Explorer, provoca ripetuti reboot della macchina infetta. Già trovate 3 varianti
di Fabio Boneschi pubblicata il 03 Maggio 2004, alle 10:13 nel canale Sicurezza
Sasser è un nuovo virus worm scoperto il 1 Maggio che sfruttando una
recente vulnerabilità di Internet Explorer, provoca ripetuti reboot della
macchina infetta.
Al momento pare che Sasser non abbia effetti distruttivi, anzi alcuni specialisti
hanno definito il suo codice "scritto male"; il passato ci ha però
abituato a non sottovalutare questo genere di alert, infatti alla scoperta di
un worm seguono svariate versioni aggiornate, raffinate e sempre più
pericolose.
Una volta che il pc è "infettato" da Sasser, quest'ultimo mette in atto alcune misure grazie a cui potrà diffondersi ed operare, provvede infatti a duplicarsi nella cartella che Windows crea di default per l'installazione ed aggiunge alcune informazioni al registro di configurazione grazie alle quali si garantisce l'esecuzione ad ogni riavvio del sistema.
Dopo essersi garantito il "futuro", Sasser pensa al presente... e sfruttando una API (più precisamente il codice relativo alla AbortSystemShutdown), provvede a riavviare il sistema e l'utente perderà ovviamente i dati non salvati!
Sasser è in grado di attivare un server FTP sulla porta 5554, grazie
a questo canale altri sistemi potranno prelevare in codice del worm.
Il sistema infetto cercherà di connettersi attraverso il protocollo TCP
e la porta 445 ad alcuni indirizzi IP generati in modo random; qualora questi
IP rispondessero alla chiamata instaurando una connessione con pc infetto, riceveranno
del codice che aprirà una connessione FTP al server precedentemente attivato
sul pc "untore".
Ulteriori informazioni sono disponibili a questo indirizzo.
Al momento di scrivere si ha notizia di una seconda variante disponibile, le cui uniche differenze sembrano essere solo i nomi di alcuni files interni; probabilmente un tentativo di aggirare i controlli antivirus aggiornati alla vecchia versione di worm. Una terza variante differisce per altre minime caratteristiche, ma è già stata individuata ed esiste un removal tool dedicato.
I pc a rischio sono essenzialmente tutti quelli con sistema operativo Windows (2000, XP e 2003) installato e non aggiornato con gli update di sicurezza rilasciati l' 11 Aprile scorso.
Pur non avendo dimostrato una enorme pericolosità, Sasser crea qualche preoccupazione perchè sfrutta un exploit risolto molto recentemente da Microsoft; è quindi lecito attendersi che parecchi sistemi non siano aggiornati. Il traffico di rete creato dalle varie sessioni FTP e dai tentativi di connessione messi in atto da Sasser, potrebbero diventare un problema in caso di epidemia su larga scala.
Il recente passato ci ha abituato a vedere vere e proprie epidemie in reti aziendali poco sicure...speriamo che le esperienze negative del passato siano servite a qualcosa.
Le raccomandazioni sono sempre le stesse: software antivirus sempre ben configurato,
ma anche sistema aggiornato con tutti gli update di sicurezza rilasciati da
Microsoft.
Se però qualcosa non ha funzionato... ed il proprio sistema inizia a
riavviarsi in modo sospetto, vi segnaliamo la disponibilità di un apposito
removal tool.
208 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoChi si beccherà l'infezione perchè si è dimenticato, non aveva voglia ecc.. pianga se stesso non attacchi M$..
La patch è uscita giorni fa.. io l'ho installata e sto tranquillo..
Chi si beccherà l'infezione perchè si è dimenticato, non aveva voglia ecc.. pianga se stesso non attacchi M$..
In effetti la colpa non è di M$ ma di chi li scrive i virus, però è anche vero che per essere aggiornati, bisogna installare decine di Mega fra patch e migliorie varie e per chi non ha ADLS sono cazzi.
browser
a quanto pare, basta avere un browser non MS x non essere infettati... così sono riuscito a ripulire un pc infettato...Commento # 3 di : dnarod pubblicato il 03 May 2004, 10:51
ad ogni modo il linke per il removal tool non funge...
_____________________________
funge funge
Basta non usare IE
Si e disinstallare Windows
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".