Vi incollo la faq di P.I
____________________________________________________
Sasser, se un worm va all'attacco
Si sta sviluppando l'infezione del primo worm capace di sfruttare una delle recenti vulnerabilità di Windows. L'emulo di Blaster è claudicante ma i suoi figli potrebbero rivelarsi molto insidiosi. Oggi è giorno di massima allerta

03/05/04 - News - Roma - Il suo arrivo era stato previsto da settimane e ora gli esperti di sicurezza hanno davvero avvistato il primo worm in grado di sfruttare una delle recenti vulnerabilità di Windows, quella relativa al Local Security Authentication Server (LSASS), per rendere instabili sistemi con Windows 2000 o XP.


Il worm, battezzato Sasser, s'ispira al famigerato Blaster e, come quest'ultimo, scansiona a intervalli di tempo un certo numero di indirizzi IP alla ricerca di computer vulnerabili: dopo averne trovato uno, il worm crea una connessione remota al sistema, vi installa un server FTP e vi trasferisce una copia di se stesso.

Così com'è, questo worm non sembra destinato a fare molta strada. La società eEye Digital Security ha infatti spiegato che il codice del nuovo vermicello è scritto male e contiene un certo numero di bug che ne inficiano la funzionalità. Gli esperti avvertono tuttavia che la consapevolezza di utenti ed amministratori in materia di sicurezza non è ancora in grado di scongiurare un possibile acuirsi di questa epidemia, e ciò nonostante la patch capace di bloccare il worm sia disponibile ormai da tempo.

Secondo softwarehouse specializzate com F-Secure, in due giorni Sasser avrebbe già fatto molta strada in rete, grazie soprattutto alla sua capacità di diffondersi da computer vulnerabile a computer vulnerabile, senza bisogno di ricorrere alla replicazione via email, la più frequente metodologia di diffusione nei worm di questi anni.

Va detto, comunque, che Sasser può provocare solo poco più di qualche fastidio in quanto si limita a mandare in crash il sistema operativo e riavviarlo più volte. Al contrario di altri worm che in questo periodo hanno trovato modo di diffondersi, Sasser non mira a creare backdoor o vulnerabilità permanenti nei sistemi colpiti, una situazione che rende ancora più difficile secondo gli osservatori comprendere le motivazioni del virus writer che ha realizzato il codice claudicante di Sasser.

Anche per questo il SANS Institute afferma che, al momento, rappresenta una minaccia più grande la famiglia di bot Ago/Gao/Phatbot, capace di sfruttare le recenti falle nei componenti RPC/LSASS e RPC/DCOM di Windows. Questi programmi, seppure incapaci di riprodursi autonomamente, possono dare la possibilità ai cracker di prendere il pieno controllo di un sistema vulnerabile e utilizzarlo come testa di ponte per attacchi su vasta scala.

In ogni caso, gli esperti affermano di non voler sottovalutare il pericolo rappresentato da Sasser, soprattutto perché nei prossimi giorni potrebbero arrivarne nuove e più evolute versioni che, migliorando il codice del worm originale, potrebbero renderlo assai più insidioso.

Con la giornata di oggi, in cui dopo la pausa riprendono le attività moltissimi uffici, inoltre, alcuni esperti temono una ondata di Sasser che potrebbe a questo punto colpire anche in Italia.

Secondo le informazioni divulgate dalle case antivirus, Sasser genera traffico sulle porte TCP 445, 5554 e 9996 e si trasferisce da un sistema all'altro attraverso il file eseguibile avserve.exe. Per altre informazioni si rimanda all'advisory pubblicato dall'Internet Storm Center.
____________________________________________________

Bè cosa ne pensate di questo vermicello?

Direi un po' fastidioso! Un amico mio già la beccato! ... :muro: :muro: ...lui senza antivirus...il minimo che lo beccava!!! :rolleyes:

Se tutti usassero il Sygate non ci sarebbe nemmeno bisogno della Patch.

la scorsa estate avevo beccato il blast e poco dopo lo ho annientato manualmente:D
questo non lo becco, ho messo la patch e uso il fire;) :sofico:

che mi fa una pippa :D

bho, io tra patch e firewall non mi sono accorto di nulla :sborone: :D :oink:

Originariamente inviato da pon 87
la scorsa estate avevo beccato il blast e poco dopo lo ho annientato manualmente:D
questo non lo becco, ho messo la patch e uso il fire;) :sofico:


l'ho installata pure io, spero sia questa


WindowsXP-KB835732-x86-ITA.EXE

Ma io come ho fatto a prenderlo?? vabbe che non avevo la patch ma Kaspersky 5 aggiornatissimo + Opera e niente email con allegati (non uso di certo outlook) :confused: :confused:

Originariamente inviato da lnessuno
che mi fa una pippa :D



:O aspetta che scrivo il mio e poi vediamo se ti va ancora così di lusso :sofico:

considerando che non uso ne IE ne OE, e che ho un firewall discretamente configurato non l'ho beccato.
oltretutto ora ho installato anche la patch quindi... :sofico:
parecchi miei amici invece se lo sono preso. un discreto fastidio, sopratutto per quelli che se lo sono beccato prima che si diffondesse per bene la notizia, quindi si tiravano testate al muro per capire la causa dei problemi :muro:

Originariamente inviato da misterx
:O aspetta che scrivo il mio e poi vediamo se ti va ancora così di lusso :sofico:



se... al limite mi metto ad usare knoppix da cd, voglio vedere se riesci ad infettarmi un cd! :sofico:

Originariamente inviato da misterx
l'ho installata pure io, spero sia questa


WindowsXP-KB835732-x86-ITA.EXE



Si la patch e' questa , vai tranquiLL :) ;)

credo di essere l'unico al mondo ad esserselo beccato con kerio (aggiornato) e firefox
vabbeh, debellato in mezz'ora dopo essermi accorto di averlo
grazie kaspersky

Dove trovo la patch?

stessa rottura di scatole di blaster :asd:

Originariamente inviato da Blue Spirit
bho, io tra patch e firewall non mi sono accorto di nulla :sborone: :D :oink:
Idem, adoro Windows Update :cool:

Originariamente inviato da lnessuno
se... al limite mi metto ad usare knoppix da cd, voglio vedere se riesci ad infettarmi un cd! :sofico:


ma l'SO qualcosa sul tuo HD è obbligato a scriverlo....

ti cancello il BIOS :sofico:

Originariamente inviato da fabiannit
Dove trovo la patch?


http://forum.hwupgrade.it/showthread.php?s=&threadid=677091


Qui :)

Originariamente inviato da misterx
ma qualcosa l'SO sul tuo HD qualcosa è obbligato a scriverlo....

ti cancello il BIOS :sofico:



solo se scarico qualche mp3 o cose del genere... :D


se mi cancelli il bios sei un infamone però :mc: :sofico:

Patch installata, firewall e antivirus al loro posto.
Credo che non avrò problemi :stordita:

neanche accorto!
ogni patch che è uscita l'ho installata,uso mozilla e ho avast! aggiornatissimo...2 miei amici invece l'hanno preso..e uno di questi aveva appena detto che mozilla fa schifo!:D:D:rotfl:

Originariamente inviato da Nicky
Patch installata, firewall e antivirus al loro posto.
Credo che non avrò problemi :stordita:


Sei super a posto :D :)

Originariamente inviato da lnessuno
solo se scarico qualche mp3 o cose del genere... :D


se mi cancelli il bios sei un infamone però :mc: :sofico:



dovrò pure passare il tempo no ? :sofico:

Originariamente inviato da Jaguar64bit
Se super a posto :D :)

Lo spero, con Agobot ho sclerato un attimino: non mi funzionava il tool di rimozione symantec. :p:)

stessa rottura di scatole di blaster :asd:

a parte che in questo caso outlook e simili non c'entrano, il virus si trasmette tramite shell remota e solo se trova determinate porte aperte sul pc, quindi già con un firewall si è a posto... e cmq si propaga solo su indirizzi ip pubblici e non su ip di rete privata, quindi chiunque sia dietro un router è a posto...in ogni caso...windows update...

Nelle aziende ci sono stati problemi ?

Originariamente inviato da IpseDixit
Nelle aziende ci sono stati problemi ?
solo se hanno pc con ip pubblico, ovvero direttamente esposti su internet, il virus non colpisce pc con indirizzo ip non routabile...

Originariamente inviato da edivad82
a parte che in questo caso outlook e simili non c'entrano, il virus si trasmette tramite shell remota e solo se trova determinate porte aperte sul pc, quindi già con un firewall si è a posto... e cmq si propaga solo su indirizzi ip pubblici e non su ip di rete privata, quindi chiunque sia dietro un router è a posto...in ogni caso...windows update...

io sono anche dietro router ma l ho preso

http://www.rai.it/news/articolonews/0,9217,77459,00.html

mamma mia...quanta disinformazione e quante caxxate :eek: soprattutto negli approfondimenti... :muro:

Originariamente inviato da edivad82
a parte che in questo caso outlook e simili non c'entrano, il virus si trasmette tramite shell remota e solo se trova determinate porte aperte sul pc, quindi già con un firewall si è a posto... e cmq si propaga solo su indirizzi ip pubblici e non su ip di rete privata, quindi chiunque sia dietro un router è a posto...in ogni caso...windows update...

e com'è che Kerio non me l'ha bloccato ?
che tenga qualche porta aperta di troppo ?
uhm....adesso non so più se fidarmi....
io intanto lo reinstallo e resetto i "permessi", non si sa mai...

Originariamente inviato da Genjo Sanzo
e com'è che Kerio non me l'ha bloccato ?
che tenga qualche porta aperta di troppo ?
uhm....adesso non so più se fidarmi....
io intanto lo reinstallo e resetto i "permessi", non si sa mai...

Block TCP ports 5554, 9996, and 445 at the perimeter firewall and install the appropriate Microsoft patch (MS04-011) to prevent the remote exploitation of the vulnerability.

--------------------------------------------------------------------------------

http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html

Ce lo siamo beccati a casa e a lavoro, installato subito la patch..
Ciao !

ecco le 4 varianti...

http://www.f-prot.com/virusinfo/descriptions/sasser_a.html

http://www.f-prot.com/virusinfo/descriptions/sasser_b.html

http://www.f-prot.com/virusinfo/descriptions/sasser_c.html

http://www.f-prot.com/virusinfo/descriptions/sasser_d.html

Originariamente inviato da edivad82
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html

'zie ;)

Ho eliminato il virus con il tool ho installato la patch e sembra sparito insieme ai problemi tranne uno.. .quando tento di aprire la connessione adsl dal desktop come ho sempre fatto non succede niente, clicco 2 volte ma niente! ho creato una nuova connessione e uso quella ma il problema e' che mi chiedo perche' faccia cosi' e se magari il worm lasci qualche cosa nel pc... ?

linux sul pc connesso a internet e policy di default drop sulla forward chain (per il portatile con xp in rete)

win2k server + sp3 e nessun altro aggiornamento, norton internet security 2004 + opera e mozilla, non sapevo manco che ci fosse se non avessi letto di gente che l'ha preso :D

sto virus nn l'ho beccato, come nn ho beccato il blaster.
grazie norton internet security

E ancora una volta grazie al mio fido router, mi fara' sonori pipponi il worm di turno :D

Originariamente inviato da Jaguar64bit
Se tutti usassero il Sygate non ci sarebbe nemmeno bisogno della Patch.


ecco perchè a casa mia non si è visto :D

Originariamente inviato da alphacygni
E ancora una volta grazie al mio fido router, mi fara' sonori pipponi il worm di turno :D


Ma quindi chi ha un router è meno a rischio??:cool:

era meglio se non c'era-:mad:

Ma secondo voi questo mio problema potrebbe essere dovuto a sto sasser?!?!?

http://forum.hwupgrade.it/showthread.php?s=&threadid=676761

Originariamente inviato da Mav80
Ma quindi chi ha un router è meno a rischio??:cool:
è proprio non a rischio con sasser...infetta solo pc con ip pubblici, se sei dietro ad un router hai un ip privato a meno che di non forwardare tutte le porte...

Penso che se virus come questo, ad altissimo rischio di diffusione (come pare sia stato) avessero anche un payload distruttivo allora si che sarebbe da mettersi le mani nei capelli :eek: :muro:

E questo soprattutto per le aziende ;)


Tutto sommato, pur essendo una gran rotttura di p@lle, non hanno effetti devastanti, e con una buona conoscenza si può evitare di prenderli.Certo non è cosa da tutti :O

Che i creatori di virus abbiano un barlume di buon senso?A volte parrebbe di sì :)


Qnick

A proposito, qualche news....il sasser è arrivato alla variante D:

http://www.f-secure.com/weblog/


Attenzione poichè starebbe circolando una mail che propone di scaricare (in allegato) una patch/tool rimozione per sasser: in realtà è l'ennesima variante di Netsky:

http://www.repubblica.it/2003/g/sezioni/scienza_e_tecnologia/windows/sassertre/sassertre.html

ragazzi,
a me da domenica succede questo:
-avvio il pc
-quando inizia a caricare il desktop di Xp mi compare una finestra in dos titolata "c:\windows\sytem32\svchost.exe".
-All'interno da quello che si legge è evidente che sta partendo un processo "virale"
-non carica la norton internet security e se provo ad aviarla manualmente non parte
-quando m collego in internet ci sono due possibilità:
-va in shutdown
-non mi permette di navigare in internet: i due computerini emanuano tenui luci gialle intermittenti ma non si apre nessuna pagina
-il riferimento del registro dovrebbe essere:
hklm > software > microsoft > windows > current version > run
-non so sia collegata l'applicazione che ho trovato: "webproxy.exe"

Help me ... or :bsod:

aggiungo che se in msconfig disattivo il processo svchost.exe la schermata i dos non appare più all'avvio successivo, tuttavia è evidente che il sistema è estemamente instabile (non riesco neanche ad aprire il menu d'avvio che si inchioda...:( )

Allora raga io mi ero beccato il sasser.c e l'ho tolto,ho messo la patch ed e sparito quindi!! Il fatto e che mi e rimasta la pg di dos all'avvio di win come ha detto sopra Psychnology:muro: !!
Come si toglie??

Ps. Prorpio ieri sera poi mi sono beccato la variante .D,il norton me l'ha rilevata,ma nn riesce e ripararlo e nn me lo fa togliere!! Mi rimane la finestra di norton che mi avvisa che ha beccato il worm!
Ora sto facendo la scan cmq con l'mcaffe removal tool,ma nn so se lo abbiano o meno aggiornato a questa ultima variante!! :rolleyes: :rolleyes: !!

Se avete suggerimenti....;)

AGGIORNAMENTO :rolleyes:

Niente il removal tool di mcaffe nn me lo trova.....cmq io nel registro,in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ho una stringa che si chiama skynetave.exe,e che e la stessa che mi ha detto il norton che e infettata da quanto ho capito...la devo eliminare?!?! :mc:
Ora allego l'immagine cmq!

thx

si la devi eliminare.

Il file infetto mandamelo a fileanalysis@email.it prima di eliminarlo :)

anke io ho gli stessi problemi della schermata iniziale di dos
guarda che cmq quella si chiama scvhost.exe e nn svchost.exe che è un file di windows...
Qualcuno sa come fare??' anke perke il file scvhost nn me lo trova e nn so come eliminarlo all'avvio

Bella raga ho risolto il problema.....mi è bastato andare, dopo aver digitato regedit in esegui, a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e li ho trovato il file scvhost.exe(che nn è il file di windows svchost.exe) e l'ho eliminato. Al riavvio oltre a nn comparirmi piu la finestra dos mi si sono riavviati il live update del norton e il sygate e tutto sembra funzionare..
se a qualcuno puo servire...

Originariamente inviato da Lucathealien
Bella raga ho risolto il problema.....mi è bastato andare, dopo aver digitato regedit in esegui, a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e li ho trovato il file scvhost.exe(che nn è il file di windows svchost.exe) e l'ho eliminato. Al riavvio oltre a nn comparirmi piu la finestra dos mi si sono riavviati il live update del norton e il sygate e tutto sembra funzionare..
se a qualcuno puo servire...
Ok poi provo,thx ;)

Per eraser:guarda provo a vedere se riesco a recuperarlo,perche oggi l'avevo eliminato manualmente prima d leggere il tuo reply :( !! Il bello che pensandoci cosi su due piedi nn mi ricordo neanche il modo!! Ora cmq ci guardo!:)

Guarda ora mi sono ricordato,me l'aveva eliminato il tool del norton FX SASSER....ci provo a guardare,senno cmq se t serve che nn riesco a recuperarlo penso che lo beccheranno in molti sul forum,nn t sara difficile trovarlo:D !!

Ci provo cmq,bye bye ;)

Allora,forse dovrei avere una buona notizia per te eraser:diciamo che lo ritrovato,ma è tra gli elementi di backup del norton,ossia e il backup del file infetto se nn sbaglio! Te lo invio lo stesso??

bye :)

Sul pc di casa sono tranquillo.
Sistema sempre aggiornato, firewall e antivirus :D :D

Sul pc di lavoro invece un dramma...
su 40 pc metà sono infetti...(non solo con il sasser)
.. ma tanto il gestore della rete non sono io...
..ca@#i suoi.. già sà cosa penso di lui....:cool: :cool:

Originariamente inviato da Psychnology
aggiungo che se in msconfig disattivo il processo svchost.exe la schermata i dos non appare più all'avvio successivo, tuttavia è evidente che il sistema è estemamente instabile (non riesco neanche ad aprire il menu d'avvio che si inchioda...:( )

Credo che nel mio caso non si tratti di sasser.
Inrociando un pò di parole su google ne ho dedotto che s tratti di tale backdoor beasty.
Qualcuno ne sa qualcosa?

Dal sito symantec:





The Backdoor.Beasty.Family Trojans behave in the following way, by default; however, the creator of the Trojan can configure the details, such as filenames, port numbers, and startup methods (and thus, the behavior may be different from the information).

By default, Backdoor.Beasty.Family does the following:


Notifies its creator by email or ICQ.


Copies itself to one or more of the following files:
%Windir%\Svchost.exe <<<======== il mio caso!
%Windows%\Msagent\Msag.com
%System%\Mshost.exe
%System%\Com\Mscom32.com
%System%\Wbem\Wb.com
%System%\Msewux.com
%Windir%\Command\Msbwrs.com
%System%\msoraw.com
%Windir%\Msagent\Msuidui.com


NOTES:
%Windir% is a variable: The Trojan locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
%System% is a variable: The Trojan locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP). <<<======il mio caso!


Some variants add the file, %Windir%\Chinka.exe.


Listens for a network connection on port 666 or 6070.


Adds a value to one or both of the following registry keys:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <<<============== il mio caso!
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components

so that the Trojan runs when you start Windows. <<<============il mio caso!


Adds the value:

"NeverShowExt"=""

to the registry key:

HKEY_CLASSES_ROOT\exefile


Ends the processes that antivirus, firewall software programs, and other programs use. <<<============== il mio caso! (non parte la norton internet security, neanche manualmente...)


Logs keystrokes to compromise passwords or other private information.


Displays fake error messages.

emh io ho il ods che mi si apre ogni volta che accendo il pc ancora,e dovrebbe essere simile al problema che hai te,ma sinceramente mica ho capito cosa ce scritto in quello che hai postato sopra:p