Epidémia nového sieťového červa: Sasser.A a jeho B variant

Martin Vataha  /  06. 05. 2004, 00:00

Nový variant Sasser.B výrazne prevýšil svojho predchodcu v počte infikovaných používateľov. V súčasnosti je infikovaných niekoľko miliónov používateľov.

Situácia môže nadobudnúť hrozivé rozmery, kým nebudú mať počítače inštalované najnovšie bezpečnostné balíky od spoločnosti Microsoft. Inak budú tieto počítače napádané obidvomi variantmi znova a znova.

Počas víkendu sa objavili dva nebezpečné vírusy Sasser, varianty A a B. Spoločnosť Panda Software už počas víkendu hlásila vysoký počet incidentov. Môžeme predpokladať, že začiatkom týždňa začne vírusová epidémia.

Vírusy sú nebezpečné hlavne pre organizácie, ktoré majú povolený prístup z Internetu dovnútra siete (porty 445, 9996, 5554) a pre počítače, ktoré sa do Internetu pripájajú priamo, prostredníctvom modemu, ISDN alebo ADSL.

Hlavným cieľom červov Sasser.A a Sasser.B je šíriť sa a napádať ďalšie počítače. Využívajú pri tom slabinu systému LSASS Windows pre prístup k vzdialeným systémom. Táto slabina umožňuje kompromitovať počítač z Internetu a získať nad ním kontrolu. Informáciu o tejto slabine
publikoval Microsoft dňa 28.4., ako i záplaty pre rôzne verzie systému Windows nájdu používatelia na:
 
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Červ používa 128 vláken na skenovanie náhodných IP adries. Ak je spojenie cez port TCP 445 úspešné, červ si overí, či je systém zraniteľný. Ak je, Sasser otvorí schránku cez port TCP 5554, aby stiahol červa do oslabeného systému. Kópia stiahnutého červa bude pomenovaná %number%_up.exe, kde %number% je náhodné číslo. Na druhej strane slabina použije preťaženie vyrovnávacej pamäte aby spôsobila zrútenie aplikácie LSASS.EXE. To môže viesť k zrúteniu systému.

Používatelia môžu byť infikovaní bez toho, že by o tom vedeli. Podrobnejšie informácie a nástroje na dezinfekciu nájdete na
http://www.pronetix.sk
 
Symptómy infekcie:
1. Počítač sa sám reštartuje
2. Vytvorená položka v Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runavserve2exe = %windir%\avserve.exe
3. Súbor avserve.exe v inštalačnom adresári Windows
 
Panda antivirus s vírusovou databázou zo dňa 2.5. a novšou detekuje oba varianty vírusov.
 
Pokiaľ si chcete overiť, či Vaše PC nie je infikované a dezinfikovať Vaše PC,
môžete využiť on-line antivírusový skener Panda ActiveScan na
 
http://www.avtest.sk 
 
Odporúčame:
 
1. Okamžite aktualizovať antivírus
2. Inštalovať bezpečnostnú záplatu od Microsoftu pre vašu verziu Windows
 
Ak máte infikované PC, postupujte nasledovne:

1. Odpojte sieť od Internetu
2. Odpojte PC od siete
3. Dezinfikujte PC pomocou Panda ActiveScan
4. Nainštalujte príslušnú záplatu od Microsoftu
5. Aktualizujte antivírus
6. Pripojte PC do siete
 
Spoločnosť Panda Software tiež uvoľnila svoju utilitu PQremove, ktorá v infikovanom počítači detekuje a eliminuje červov Sasser.A a Sasser.B. Táto aplikácia rovnako obnovuje všetky zmeny, ktoré tieto červy vykonali v konfigurácii systému.

Nástroj PQRemove je voľne dostupný a môžete si ho stiahnuť na http://www.pronetix.sk/download/forms/download_pqremove.htm.

Zdroj : Tlačová správa spoločnosti proNETIX

Neprehliadnite: