| PrecedenteLovSan - Blaster | Lo worm Sasser | SeguenteKit di disinfezione |
Comparsoi nel maggio del 2004, il virus Sasser (conosciuto anche con il nome di W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b o Win32.Sasser) è un virus che sfrutta una falla del servizio LSASS (Local Security Authority Subsystem Service, corrispondente all'eseguibile lsass.exe) di Windows. La comparsa del primo virus che sfrutta la falla del servizio LSASS di Windows ha avuto luogo due settimane dopo la pubblicazione della falla e la messa a disposizione dei primi correttivi. I sistemi infetti sono i sistemi Windows NT 4.0, 20
Lo worm Sasser è programmato in modo tale da lanciare 128 processi (1024 nel caso della variante SasserC) incaricati di scannerizzare un elenco di indirizzi IP casuale alla ricerca dei sistemi vulnerabili alla falla LSASS sulla porta 445/TCP.
Il virus installa un server FTP sulla porta 5554 per rendersi disponibile a scaricare ad altri computer infetti,
Poi, quando trova un terminale vulnerabile, lo worm apre uno shell da remoto sul terminale (sulla porta TCP 9996), e forza il terminale da remoto a scaricare una copia dello worm (detta avserve.exe o avserve2.exe per la variante Sasser.B) nella cartella di Windows.
Una volta scaricato il file, esso crea un file chiamatowin.log (o win2.log per la variante Sasser.B) nella cartella c:\ per registrare il numero di terminali che ha infettato. Poi crea dei dati nel database di registro per rilanciarsi automaticamente ad ogni riavvio :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exeo
HKLM\Software\Microsoft\Windows\CurrentVersion\Run avserve.exe -> C:\%WINDIR%\avserve.exe
Il virus chiama la funzione "AbortSystemShutdown" per impedire il riavvio (o la sua disattivazione) da parte dell'utente o da altri virus,
Lo sfruttamento della vulnerabilità LSASS provoca un certo numero di disfunzioni nei sistemi infetti, legati al blocco del servizio LSASS (processo lsass.exe). I sistemi vulnerabili presentano i seguenti sintomi :
Blocco del sistema iniziato da Autorite/System. Il processo di sistema : C:\WINDOWS\system32\Isass.exe è stato chiuso in modo improvviso con il codice di stato 128
lsass.exe - application error
Per sradicare il virus Sasser, il metodo migliore consiste innanzi tutto nel proteggere il sistema attivando il firewall. Su Windows XP basta andare in
Menu Start > Pannello di configurazione > Connessioni di reteCliccate poi con il tasto destro sulla connessione collegata a internet, poi cliccate su Proprietà. Selezionate l'opzione "Parametri avanzati", poi selezionare la casella "Proteggere il proprio computer e la rete limitando o impedendo l'accesso a questo computer partendo da internet, validate cliccando su OK.
E' in seguito indispensabile aggiornare il sistema attraverso Windows Update oppure aggiornando il vostro sistema con il patch seguente corrispondente al vostro sistema operativo :
potete infine disinfettare il sistema con il seguente kit :
Scaricare il kit di disinfezione
D'altra parte, visto che il virus si diffonde attraverso la rete, si consiglia vivamente di installare un firewall personalesui vostri terminali connessi a internet e di filtrare le porte tcp/445, tcp/5554 e tcp/9996.
