Achtung! Новый червь Worm.Win32.Sasser.a (b)

Вид для печати

03.05.2004 08:53
Lray

Achtung! Новый червь Worm.Win32.Sasser.a (b)

[quote]В интернете появился новый сетевой червь Sasser, распространяющийся аналогично вирусу Blaster, который вызвал масштабную эпидемию в прошлом году. Sasser использует уязвимость в операционной системе Windows и не рассылает свои копии по электронной почте. Он заражает только операционные системы Windows XP и Windows 2000.

Специалисты по компьютерной безопасности пока зафиксировали лишь небольшое число зараженных компьютеров. Ожидается, что червь станет активнее распространяться с началом рабочей недели. "Лаборатория Касперского" сообщила о средней опасности вируса.[/quote]
(c)[url=http://lenta.ru/internet/2004/05/02/sasser/] Lenta.Ru[/url]

[quote]Worm.Win32.Sasser.a
Опасность : средняя
Вирус-червь.

Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:

[url]http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx[/url]

Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.

Размножение

При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve.exe = %WINDIR%\avserve.exe

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.

Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.[/quote] (c) [url=http://www.viruslist.com/alert.html?id=145080265]VirusList.com[/url]

Обновляйте свои антивирусы, дамы и господа. Т.к. эта дрянь действует как и Бластер, то вы даже можете и не заметить заражения.
И пользуйтесь файерволлами.
03.05.2004 22:55
shidox

Я уже грохнул такого :))
он мне комп постояно ребутил и отсчет показывал мол через минуту ребут :) :wink:
04.05.2004 10:18
Lray

В названии топика вынесен Worm.Win32.Sasser.a, а уже, бушует его модификация [URL=http://www.viruslist.com/alert.html?id=145080269]Worm.Win32.Sasser.[b]b[/b]. [/URL]
Отличие - в имени файла червя, прописываемого в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:
у версии [b]а[/b] - avserve.exe
у версии [b]b[/b] - avserve2.exe

Будьте бдительны.
04.05.2004 10:25
Tux

У мя вчера эта гадость 2 или 3 раза заргузиться хотела(((. Хорошо что мой Norton AntiVirus спас мну))))
04.05.2004 10:26
VOD

[b]Lray[/b], какой файерволл лучше ловит этого червика? или все на это гаразд?
04.05.2004 10:30
Lray

[b]VOD[/b], в 1-ю очередь советую выкачать с сайта Микрософта заплату от этой заразы - [url]http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx[/url] - там найдешь для своей ОС. Обновить антивирь, и отключившись от Сети, провериться.

Файерволл - любой, нормально контролирующий порты.
04.05.2004 11:44
[ r o n ]

был такой на работе сразу убил, и все в порядке...
04.05.2004 17:58
igva

Блин ,откуда он берётся ? Стоит файрвол и антивирь,раза 2 -3 на день DrWeb выкидывает меседж, что обноружен вирь и я его удаляю,но как он через файрвол проходит?? стоит Агнитум аутпост в режиме обучения,лишнего вроде ничего нет
кто что скажет ?
04.05.2004 18:31
Bewza

У меня его нема, стоит Outpost...
05.05.2004 23:12
-=GDS=-

Спасибо создателю топика, и отдельное спасибо Regreth(у)- уже как два дня ломал голову, не знал что с машиной, оказалось...........
11.05.2004 14:21
Lray

[b]igva[/b], если в твоем Аутпосте разрешён доступ службе LSASS Microsoft Windows (а она системная и многие фаерволлы по дефолту ей разрешают доступ) - то через неё, собственно, ты и заражаешься.
Внимательно прочти описание червяка в 1-м посте этоо топика и описание уязвимости на сайте Микрософта и Касперского (ссылки выше).
13.05.2004 09:01
igva

[quote]Немецкая полиция задержала подозреваемого в написании вируса Sasser 18-летнего жителя земли Нижняя Саксония. Официальные лица выразили уверенность в том, что это именно тот, кого они искали, поскольку, во-первых, он сделал соответствующее признание, во-вторых, принимавшие участие в расследовании эксперты Microsoft обнаружили необходимые доказательства -- в частности, на домашнем ПК арестованного (живущего с родителями, которые имеют бизнес в сфере обслуживания компьютеров) был найден исходный код вируса.

Как считают специалисты, автор Sasser вероятнее всего действовал в одиночку; кроме того, в настоящее время проверяется предположение о том, что он является создателем другого, появившегося уже достаточно давно червя -- Netsky.

Сообщается, что позднее задержанный был временно отпущен, поскольку, по мнению полиции, он не склонен к дальнейшим противоправным действиям. Максимальное наказание, которое ему теоретически может грозить по немецким законам -- до пяти лет тюремного заключения.[/quote]

Взято отсюда [url]http://www.itc.ua/article.phtml?ID=17134[/url]
13.05.2004 16:27
sanyo

2 Lray с майкрософта ему дороговато будет =)
2 Vod на норме есть...если не найдеш я кину на мыло и заплатки и сами файлы уничтажения и сассера и бласта =))

мну уже хватал =))