W32.Sasser Thread

[Qnick]

Innanzitutto mi scuso con i mods se questo 3d dovesse risultare ripetitivo, ma nell'altro le principali informazioni utili non sono immediatamente reperibili, per cui ho pensato di fare un thread con le info di riepilogo ed i principali tool/soluzioni x la rimozione nel post principale.

Al limite chiudete questo ed integrate l'altro con queste info

Tutto è nato a causa di un amico che stasera ha subito l'infezione da questo nuovo virus rompip@lle, ed ovviamente chi è dovuto andare a rimediare al problema? Io naturalmente...così mi sono fatto una piccola cultura sull'argomento


W32.Sasser.Worm (W32.Sasser.B.Worm)


Descrizione:

W32.Sasser.Worm is a worm that attempts to exploit the MS04-011 vulnerability. It spreads by scanning randomly-chosen IP addresses for vulnerable systems.

Systems Affected: Windows 2000, Windows Server 2003, Windows XP
Systems Not Affected: Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT

Dettagli tecnici:

When W32.Sasser.Worm runs, it does the following:

1. Attempts to create a mutex called Jobaka3l and exits if the attempt fails. This ensures that no more than one instance of the worm can run on the computer at any time.
2. Copies itself as %Windir%\avserve.exe. (* avserve2.exe nel caso della variante B)

Note: %Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
3. Adds the value:

"avserve.exe"="%Windir%\avserve.exe" (* come sopra)

to the registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

so that the worm runs when you start Windows.

4. Uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer.

5. Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts.

6. Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).

The IP addresses generated by the worm are distributed as follows:
+ 50% are completely random
+ 25% have the same first octet as the IP address of the infected host
+ 25% have the same first and second octet as the IP address of the infected host.
The worm starts 128 threads that scan randomly-chosen IP addresses. This demands a lot of CPU time and as a result an infected computer may be so slow as to be barely useable.


Consigli per la rimozione

• Il worm sfrutta una vulnerabilità del servizio lsass, descritta nel bollettino di sicurezza MS04-011.
  Pertanto si rende necessario scaricare ed installare l'opportuna patch per ovviare al problema:
  
  Patch ita Windows XP SP1
  
  Patch ita Windows 2000 SP2/3/4
  
  Patch ita Windows Server 2003
  
• Il worm utilizza le porte TCP 445, 5554, 9996 pertanto si raccomanda di chiuderle utilizzando un firewall.
  
• Utilizzare un tool di rimozione per eliminare il worm definitivamente (in entrambi i casi qui sotto, i tool rimuovono sia la versione normale che la variante B):
  
  F-Secure Removal tool
  Symantec Removal tool
  

Rimozione manuale:

1) Terminare il processo incriminato:

1. Aprire il task manager con Ctrl+Alt+Canc
2. Selezionare la scheda Processi
3. Cercare nella lista dei processi attivi il processo:
   • avserve.exe (avserve2.exe nel caso della variante B del virus)
   • qualsiasi processo dal nome formato da 4 o 5 numeri seguiti da _up.exe (es: 12345_up.exe)
   • Una volta trovato/i, selezionatelo/li e cliccate su Termina processo
   • Chiudete il task manager

2) Disabilitare temporaneamente il Ripristino di sistema, per evitare che tale servizio possa memorizzare sotto forma di backup anche il virus o alcune modifiche da esso indotte:

1. Cliccare col tasto dx del mouse sull'icona Risorse del computer, e scegliere proprietà; o, ancor più velocemente, premere contemporaneamente i tasti WinKey+Pausa.
2. Selezionare la scheda Ripristino configurazione di sistema
3. Selezionare Disattiva Ripristino configurazione di sistema su tutte le unità, e confermare cliccando su OK (ed eventuale ulteriore richiesta di conferma).

_N.B._:Una volta terminate tutte le operazioni, potremo riabilitarlo col il procedimento inverso.


3) Aggiornare il proprio antivirus


4) Effettuare una scansione completa del proprio sistema, alla ricerca dei possibili files infettati da tale virus


5) Aprire il registro di sistema ed eliminare dai processi caricati all'avvio del sistema il processo citato sopra:

1. Cliccare su Start, poi su Esegui e digitare regedit (si apre la finestra del registro di configurazione)
2. Sul pannello di sinistra, navigate sino alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
3. Nel pannello di destra cancellate il valore "avserve.exe"="%Windir%\avserve.exe" (rispettivamente avserve2.exe)
4. Chiudete l'editor di registro

Novità su W32.Sasser

http://www.hwinit.net/modules/news/a...hp?storyid=436


Per eventuali aggiunte ed informazioni utili segnalatemi pure che aggiungo
Se ho commesso qualche errore o imprecisione ditemi che correggo!

[Supersubway]

Non trovo riferimenti a LeakerBot 0.3.0 che mi ritrovo sul PC da ieri sera...

[Hendrix83]

Quote:

Originariamente inviato da Supersubway
Non trovo riferimenti a LeakerBot 0.3.0 che mi ritrovo sul PC da ieri sera...

Me lo sono beccato pure io sto cazzo di Leaker Bot ieri pomeriggio! Ha disabilitato l'autoprotect di Norton 2004 e si è reso invisibile in qualke modo alla scansione del sistema! Preso dall'incazzo di non riuscire a debellarlo, ho formattato tutto!

[Supersubway]

Credo sia collegato al sasser... infatti mi sono beccato prima un riavvio... e poi sto leakerbot

[Hendrix83]

Quote:

Originariamente inviato da Supersubway
Credo sia collegato al sasser... infatti mi sono beccato prima un riavvio... e poi sto leakerbot

Io invece nn ho avuto riavvii....ho riavviato io (come un coglione!!!) xkè il sist era diventato molto instabile! Cmq ke sfiga, avessi aspettato un giorno, avrei rimosso il virus col removing tool ke hanno fatto e nn avrei formattato!

[Supersubway]

ma non ho capito se il leakerbot è una versione particolare del sasser o cosa...

[Hendrix83]

Quote:

Originariamente inviato da Supersubway
ma non ho capito se il leakerbot è una versione particolare del sasser o cosa...

secondo me è solo una sorta di programmino x collegarsi in giro e spargerlo via internet......hai visto ke tenta di collegarsi a kissà quali server, no?

[MrOZ]

Leakerbot è una backdoor.

Provate a vedere se Stinger oltre al Sasser rimuove anche quella backdoor. http://vil.nai.com/vil/stinger/

[MrOZ]

Tool di rimozione di casa Microsoft x il worm Sasser
http://support.microsoft.com/?kbid=841720

[eraser]

@Qnick

magari posta quello che hai scritto sull'altro thread, sennò si creano troppi doppioni

questo lo chiudo

Ciao

Eraser