Allarme Sasser: restart di sistema assicurato!

Allarme Sasser: restart di sistema assicurato!

Sasser è un nuovo virus worm scoperto il 1 Maggio che sfruttando una recente vulnerabilità di Internet Explorer, provoca ripetuti reboot della macchina infetta. Già trovate 3 varianti

di Fabio Boneschi pubblicata il , alle 10:13 nel canale Sicurezza
 

Sasser è un nuovo virus worm scoperto il 1 Maggio che sfruttando una recente vulnerabilità di Internet Explorer, provoca ripetuti reboot della macchina infetta.
Al momento pare che Sasser non abbia effetti distruttivi, anzi alcuni specialisti hanno definito il suo codice "scritto male"; il passato ci ha però abituato a non sottovalutare questo genere di alert, infatti alla scoperta di un worm seguono svariate versioni aggiornate, raffinate e sempre più pericolose.

Una volta che il pc è "infettato" da Sasser, quest'ultimo mette in atto alcune misure grazie a cui potrà diffondersi ed operare, provvede infatti a duplicarsi nella cartella che Windows crea di default per l'installazione ed aggiunge alcune informazioni al registro di configurazione grazie alle quali si garantisce l'esecuzione ad ogni riavvio del sistema.

Dopo essersi garantito il "futuro", Sasser pensa al presente... e sfruttando una API (più precisamente il codice relativo alla AbortSystemShutdown), provvede a riavviare il sistema e l'utente perderà ovviamente i dati non salvati!

Sasser è in grado di attivare un server FTP sulla porta 5554, grazie a questo canale altri sistemi potranno prelevare in codice del worm.
Il sistema infetto cercherà di connettersi attraverso il protocollo TCP e la porta 445 ad alcuni indirizzi IP generati in modo random; qualora questi IP rispondessero alla chiamata instaurando una connessione con pc infetto, riceveranno del codice che aprirà una connessione FTP al server precedentemente attivato sul pc "untore".

Ulteriori informazioni sono disponibili a questo indirizzo.

Al momento di scrivere si ha notizia di una seconda variante disponibile, le cui uniche differenze sembrano essere solo i nomi di alcuni files interni; probabilmente un tentativo di aggirare i controlli antivirus aggiornati alla vecchia versione di worm. Una terza variante differisce per altre minime caratteristiche, ma è già stata individuata ed esiste un removal tool dedicato.

I pc a rischio sono essenzialmente tutti quelli con sistema operativo Windows (2000, XP e 2003) installato e non aggiornato con gli update di sicurezza rilasciati l' 11 Aprile scorso.

Pur non avendo dimostrato una enorme pericolosità, Sasser crea qualche preoccupazione perchè sfrutta un exploit risolto molto recentemente da Microsoft; è quindi lecito attendersi che parecchi sistemi non siano aggiornati. Il traffico di rete creato dalle varie sessioni FTP e dai tentativi di connessione messi in atto da Sasser, potrebbero diventare un problema in caso di epidemia su larga scala.

Il recente passato ci ha abituato a vedere vere e proprie epidemie in reti aziendali poco sicure...speriamo che le esperienze negative del passato siano servite a qualcosa.

Le raccomandazioni sono sempre le stesse: software antivirus sempre ben configurato, ma anche sistema aggiornato con tutti gli update di sicurezza rilasciati da Microsoft.
Se però qualcosa non ha funzionato... ed il proprio sistema inizia a riavviarsi in modo sospetto, vi segnaliamo la disponibilità di un apposito removal tool.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

208 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Imperatore Neo03 Maggio 2004, 10:38 #1
La patch è uscita giorni fa.. io l'ho installata e sto tranquillo..
Chi si beccherà l'infezione perchè si è dimenticato, non aveva voglia ecc.. pianga se stesso non attacchi M$..
the_joe03 Maggio 2004, 10:48 #2
Originariamente inviato da Imperatore Neo
La patch è uscita giorni fa.. io l'ho installata e sto tranquillo..
Chi si beccherà l'infezione perchè si è dimenticato, non aveva voglia ecc.. pianga se stesso non attacchi M$..


In effetti la colpa non è di M$ ma di chi li scrive i virus, però è anche vero che per essere aggiornati, bisogna installare decine di Mega fra patch e migliorie varie e per chi non ha ADLS sono cazzi.
dnarod03 Maggio 2004, 10:51 #3
ad ogni modo il linke per il removal tool non funge...
mattego03 Maggio 2004, 10:59 #4

browser

a quanto pare, basta avere un browser non MS x non essere infettati... così sono riuscito a ripulire un pc infettato...
Fabio Boneschi03 Maggio 2004, 11:00 #5
_____________________
Commento # 3 di : dnarod pubblicato il 03 May 2004, 10:51
ad ogni modo il linke per il removal tool non funge...
_____________________________
funge funge
Florio03 Maggio 2004, 11:06 #6
Basta non usare IE per non incappare nel 90% dei bug di windows
DioBrando03 Maggio 2004, 11:06 #7
rispetto al Blaster e Slammer una bazzecola
R@nda03 Maggio 2004, 11:07 #8
Originariamente inviato da Florio
Basta non usare IE


Si e disinstallare Windows
Mad Penguin03 Maggio 2004, 11:09 #9
basta non usare windows.... ehehehh :P
Lord Archimonde03 Maggio 2004, 11:09 #10
Io us firefox

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^