W32.Sasser: rimozione e link utili

eraser · 03-05-2004, 14:47

Rapida guida scritta da QNick per rimuovere i worm Sasser.A e Sasser.B (anche Sasser.C che è praticamente identico al Sasser.B nell'individuazione)

W32.Sasser.Worm (W32.Sasser.B.Worm)

Descrizione:

W32.Sasser.Worm is a worm that attempts to exploit the MS04-011 vulnerability. It spreads by scanning randomly-chosen IP addresses for vulnerable systems.

Systems Affected: Windows 2000, Windows Server 2003, Windows XP
Systems Not Affected: Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT

Dettagli tecnici:

When W32.Sasser.Worm runs, it does the following:

1. Attempts to create a mutex called Jobaka3l and exits if the attempt fails. This ensures that no more than one instance of the worm can run on the computer at any time.
2. Copies itself as %Windir%\avserve.exe. (* avserve2.exe nel caso della variante B)

Note: %Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
3. Adds the value:

"avserve.exe"="%Windir%\avserve.exe" (* come sopra)

to the registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

so that the worm runs when you start Windows.

4. Uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer.

5. Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts.

6. Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).

The IP addresses generated by the worm are distributed as follows:
+ 50% are completely random
+ 25% have the same first octet as the IP address of the infected host
+ 25% have the same first and second octet as the IP address of the infected host.
The worm starts 128 threads that scan randomly-chosen IP addresses. This demands a lot of CPU time and as a result an infected computer may be so slow as to be barely useable.

Consigli per la rimozione

Il worm sfrutta una vulnerabilità del servizio lsass, descritta nel bollettino di sicurezza MS04-011.
Pertanto si rende necessario scaricare ed installare l'opportuna patch per ovviare al problema:

Patch ita Windows XP SP1

Patch ita Windows 2000 SP2/3/4

Patch ita Windows Server 2003
Il worm utilizza le porte TCP 445, 5554, 9996 pertanto si raccomanda di chiuderle utilizzando un firewall.
Utilizzare un tool di rimozione per eliminare il worm definitivamente (in entrambi i casi qui sotto, i tool rimuovono sia la versione normale che la variante B):

F-secure removal tool
Symantec Removal tool
Microsoft removal tool

Rimozione manuale:

1) Terminare il processo incriminato:

Aprire il task manager con Ctrl+Alt+Canc
Selezionare la scheda Processi
Cercare nella lista dei processi attivi il processo:
- avserve.exe (avserve2.exe nel caso della variante B o C del virus)
- qualsiasi processo dal nome formato da 4 o 5 numeri seguiti da _up.exe (es: 12345_up.exe)
- Una volta trovato/i, selezionatelo/li e cliccate su Termina processo
- Chiudete il task manager

2) Disabilitare temporaneamente il Ripristino di sistema, per evitare che tale servizio possa memorizzare sotto forma di backup anche il virus o alcune modifiche da esso indotte:

Cliccare col tasto dx del mouse sull'icona Risorse del computer, e scegliere proprietà; o, ancor più velocemente, premere contemporaneamente i tasti WinKey+Pausa.
Selezionare la scheda Ripristino configurazione di sistema
Selezionare Disattiva Ripristino configurazione di sistema su tutte le unità, e confermare cliccando su OK (ed eventuale ulteriore richiesta di conferma).

_N.B._:Una volta terminate tutte le operazioni, potremo riabilitarlo col il procedimento inverso.

3) Aggiornare il proprio antivirus

4) Effettuare una scansione completa del proprio sistema, alla ricerca dei possibili files infettati da tale virus

5) Aprire il registro di sistema ed eliminare dai processi caricati all'avvio del sistema il processo citato sopra:

Cliccare su Start, poi su Esegui e digitare regedit (si apre la finestra del registro di configurazione)
Sul pannello di sinistra, navigate sino alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Nel pannello di destra cancellate il valore "avserve.exe"="%Windir%\avserve.exe" (rispettivamente avserve2.exe)
Chiudete l'editor di registro

Novità su W32.Sasser

http://www.hwinit.net/modules/news/a...hp?storyid=436

http://www.hwinit.net/modules/news/a...hp?storyid=437

Guida in italiano per la rimozione manuale

http://www.pizzairc.it/sasser.htm

Il thread sarà costantemente aggiornato se ci saranno novità

Ciao

Eraser

03-05-2004, 14:47	#1
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	W32.Sasser: rimozione e link utili Rapida guida scritta da QNick per rimuovere i worm Sasser.A e Sasser.B (anche Sasser.C che è praticamente identico al Sasser.B nell'individuazione) W32.Sasser.Worm (W32.Sasser.B.Worm) Descrizione: W32.Sasser.Worm is a worm that attempts to exploit the MS04-011 vulnerability. It spreads by scanning randomly-chosen IP addresses for vulnerable systems. Systems Affected: Windows 2000, Windows Server 2003, Windows XP Systems Not Affected: Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT Dettagli tecnici: When W32.Sasser.Worm runs, it does the following: 1. Attempts to create a mutex called Jobaka3l and exits if the attempt fails. This ensures that no more than one instance of the worm can run on the computer at any time. 2. Copies itself as %Windir%\avserve.exe. (* avserve2.exe nel caso della variante B) Note: %Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location. 3. Adds the value: "avserve.exe"="%Windir%\avserve.exe" (* come sopra) to the registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run so that the worm runs when you start Windows. 4. Uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer. 5. Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts. 6. Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe). The IP addresses generated by the worm are distributed as follows: + 50% are completely random + 25% have the same first octet as the IP address of the infected host + 25% have the same first and second octet as the IP address of the infected host. The worm starts 128 threads that scan randomly-chosen IP addresses. This demands a lot of CPU time and as a result an infected computer may be so slow as to be barely useable. Consigli per la rimozione Il worm sfrutta una vulnerabilità del servizio lsass, descritta nel bollettino di sicurezza MS04-011. Pertanto si rende necessario scaricare ed installare l'opportuna patch per ovviare al problema: Patch ita Windows XP SP1 Patch ita Windows 2000 SP2/3/4 Patch ita Windows Server 2003 Il worm utilizza le porte TCP 445, 5554, 9996 pertanto si raccomanda di chiuderle utilizzando un firewall. Utilizzare un tool di rimozione per eliminare il worm definitivamente (in entrambi i casi qui sotto, i tool rimuovono sia la versione normale che la variante B): F-secure removal tool Symantec Removal tool Microsoft removal tool Rimozione manuale: 1) Terminare il processo incriminato: Aprire il task manager con Ctrl+Alt+Canc Selezionare la scheda Processi Cercare nella lista dei processi attivi il processo: avserve.exe (avserve2.exe nel caso della variante B o C del virus) qualsiasi processo dal nome formato da 4 o 5 numeri seguiti da _up.exe (es: 12345_up.exe) Una volta trovato/i, selezionatelo/li e cliccate su Termina processo Chiudete il task manager 2) Disabilitare temporaneamente il Ripristino di sistema, per evitare che tale servizio possa memorizzare sotto forma di backup anche il virus o alcune modifiche da esso indotte: Cliccare col tasto dx del mouse sull'icona Risorse del computer, e scegliere proprietà; o, ancor più velocemente, premere contemporaneamente i tasti WinKey+Pausa. Selezionare la scheda Ripristino configurazione di sistema Selezionare Disattiva Ripristino configurazione di sistema su tutte le unità, e confermare cliccando su OK (ed eventuale ulteriore richiesta di conferma). _N.B._:Una volta terminate tutte le operazioni, potremo riabilitarlo col il procedimento inverso. 3) Aggiornare il proprio antivirus 4) Effettuare una scansione completa del proprio sistema, alla ricerca dei possibili files infettati da tale virus 5) Aprire il registro di sistema ed eliminare dai processi caricati all'avvio del sistema il processo citato sopra: Cliccare su Start, poi su Esegui e digitare regedit (si apre la finestra del registro di configurazione) Sul pannello di sinistra, navigate sino alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Nel pannello di destra cancellate il valore "avserve.exe"="%Windir%\avserve.exe" (rispettivamente avserve2.exe) Chiudete l'editor di registro Novità su W32.Sasser http://www.hwinit.net/modules/news/a...hp?storyid=436 http://www.hwinit.net/modules/news/a...hp?storyid=437 Guida in italiano per la rimozione manuale http://www.pizzairc.it/sasser.htm Il thread sarà costantemente aggiornato se ci saranno novità Ciao Eraser __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: Ultima modifica di eraser : 11-05-2004 alle 14:53.

Strumenti
Mostra una versione stampabile Invia questa pagina per email