Introduzione
1° maggio, è iniziata una massiccia diffusione del virus W32.Sasser.Worm che sfrutta una recente vulnerabilità, buffer overrun, nel processo LSASS, vulnerabilità corretta dalla Microsoft e descritta in questo bollettino E' possibile che gli utenti dei sistemi operativi Windows NT, 2000, XP, Server 2003 mentre navigano in internet potrebbero incorrere in un messaggio simile al seguente: http://www.microsoft.com/italy/technet/solutions/security/04/ms04_011.asp

Caratteristiche
Questa vulnerabilità colpisce tutte le macchine con sistemi operativi 2000 e XP non aggiornati con le ultime patch e senza un firewall installato. La presenza del file win.log in C: oppure win2.log in C: "secondo le varianti del virus" e frequenti crash nel servizio LSASS.EXE sono sintomo d'infezione da W32/Sasser.Worm.
Il Worm scansiona IP casuali attraverso la porta 445 TCP, se trova un sistema non aggiornato con le ultime patch il file avserve.exe oppure skynetave.exe in C:\Windows (XP) o C:\Winnt (2000), crea il file win.log in C: oppure win2.log in C: "secondo le varianti del virus" dove vengono memorizzate tutte le informazioni sulla macchina infettata e per assicurarsi d'essere attivo ad ogni riavvio della macchina aggiunge il valore avserve = avserve.exe in:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Genera una shell utile per collegarsi da remoto, porta 9996 TCP, utilizzando un protocollo FTP crea ed esegue lo script CMD.FTP a sua volta scarica ed esegue il file infetto. Il nome del file è *****_up.exe, dove ***** sono una serie di 5 numeri casuali e verrà collocato nella system directory. Il server FTP appena creato si collega alla porta 5554 TCP e se trova sistemi non aggiornati con le ultime patch, scarica il file causando l'infezione.

Zoom

Zoom