SASSER

Dezambiguizare - Dacă sunteți în căutarea municipiului Georgia (Statele Unite ale Americii) , consultați Sasser (Georgia) .

SASSER este un vierme , un tip de malware . Remarcat pentru prima dată pe 13 aprilie 2004 de către tehnicienii eEye Digital Security, un producător american de software de securitate pentru computer, s-a răspândit în curând ca un incendiu.

Sistemele au atacat

Atacuri Windows 2000 și Windows XP sistemele de operare , exploatarea unui bug în componenta locală de securitate Autoritatea Subsistemul de servicii (LSASS) determinând un buffer overflow . Microsoft a pus la dispoziție o actualizare a programului pe 14 aprilie 2004 . Faptul că viermele a apărut la câteva zile după patch-ul care a eliminat problema sugerează că a fost creat prin aplicarea tehnicilor de inginerie inversă patch-ului în sine și așteptând să infecteze milioane de computere pe care patch-ul nu a fost instalat.

Vulnerabilitatea exploatată

Defectul din sistemele de operare exploatate de vierme se află în porțiunea de cod Windows care pune la dispoziție diverse funcții pentru utilizarea serviciilor Active Directory atât local, cât și de la distanță. Unele dintre aceste funcții generează un fișier jurnal numit „dcpromo.log” situat într-un director de sistem în scopuri de depanare. Dar întrucât una dintre funcțiile folosite pentru a crea jurnalul nu verifică lungimea șirurilor primite în intrare, este posibil să depășim tamponul serviciului și, prin urmare, să executăm cod arbitrar cu drepturi de sistem pe computerul atacat. Ca și când acest lucru nu ar fi suficient, funcția nu verifică dacă șirul provine de pe computerul local sau de la o gazdă externă și acest lucru face posibilă atacarea de pe orice computer conectat la sistemul afectat de vulnerabilitate.

Metoda de agresiune

La fel ca mulți dintre viermii recenți, SASSER atacă computerul printr-un serviciu de rețea insuficient protejat. Faptul că poate acționa fără a fi nevoie să interacționeze cu utilizatorul îl face deosebit de insidios. Pe de altă parte, apărarea dvs. este destul de simplă, deoarece trebuie doar să configurați paravanul de protecție corect sau să instalați patch-ul adecvat care corectează vulnerabilitatea.

Codul vierme, scris în Visual C ++, este conținut într-un executabil de 15.872 octeți. Când acest fișier intră într-un sistem vulnerabil, creează o copie a acestuia în directorul Windows cu numele „avserve.exe” sau „avserve2.exe”. Pentru a se asigura că rulează la fiecare boot, viermele introduce cheia HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run în registru. Portul prin care are loc atacul este 445 al protocolului TCP . Analiștii Microsoft au indicat, de asemenea, utilizarea portului 139.

Pentru a se asigura că nu mai există copii ale codului său activ pe sistem, viermele creează un mutex (obiect de excludere reciprocă, un obiect software care permite mai multor fire să partajeze aceeași resursă) numit Jobaka31. Odată ce aceste funcții de rutină au fost finalizate, SASSER își activează procedura de propagare: creează un server FTP ascultând pe portul TCP 5554 și începe să caute alte victime potențiale începând o scanare pe portul TCP 445 utilizat de „Lsass.exe”. Scopul scanării este de a localiza alte computere afectate de vulnerabilitate.

Căutarea folosește adrese IP generate aleatoriu, cu o ușoară preferință pentru gazde aparținând aceleiași clase de adrese ca și computerul infectat. De îndată ce găsește un computer potențial vulnerabil, viermele verifică dacă sistemul de operare este într-adevăr atacabil și apoi folosește exploit-ul pentru a crea un shell pe sistemul de la distanță. Folosind acest shell, deschis pe portul TCP 9996, computerul la distanță este obligat să se conecteze la sistemul infectat și să descarce și să execute codul viral (care are de obicei numele unei combinații de cinci numere aleatorii urmate de caracterele „_up.exe” conexiunea are loc datorită serverului FTP activat anterior pe computerul infectat De îndată ce viermele este activ pe computerul de la distanță, acesta începe din nou acțiunea de propagare și atac.

De îndată ce aceste faze sunt finalizate, puteți vedea că viermele fură resurse de la CPU, trimitând utilizarea acestei componente la 100% (dacă nu mai mult) și, la scurt timp, apare un ecran care îl avertizează pe utilizator că „LSA Shell (Versiunea de export) "(lsass.exe) a încetat să funcționeze, împreună cu ecranul tipic de raportare a erorilor Microsoft. Apoi apare un alt ecran, care afișează următorul mesaj:

"Sistemul se oprește. Salvați toate lucrările în curs și deconectați-vă. Orice modificare nesalvată va fi pierdută. Această oprire a fost inițiată de NT AUTHORITY \ SYSTEM.

Timp înainte de oprire: (numărătoarea inversă începe de la 00:01:00, adică de la 1 minut)

Mesaj

Procesul de sistem „C: \ Windows \ System32 \ lsass.exe” sa încheiat în mod neașteptat cu codul de stare -1073741819. Sistemul se va opri și va reporni acum. "

(Sistemul se oprește. Salvați toate lucrările în curs și deconectați-vă. Toate modificările nesalvate se vor pierde. Această oprire a fost inițiată de NT AUTHORITY \ SYSTEM.

Timp înainte de oprire: (numărătoarea inversă începe de la 00:01:00, adică de la 1 minut)

informație

Procesul de sistem „C: \ Windows \ System32 \ lsass.exe” a încetat să funcționeze și s-a încheiat cu codul de ieșire -1073741819. Sistemul se va închide și reporni acum.)

Deoarece viermele a introdus anterior cheia HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run în registru, acest lsass.exe se blochează și repornește sistemul care se va repeta de fiecare dată când sistemul pornește, inclusiv utilizarea procesorului incremental până la 100%.

Uneori, se poate întâmpla ca viermele să folosească atât de mult CPU încât chiar să blocheze Managerul de activități, făcând astfel imposibilă terminarea procesului „avserve.exe” (sau „avserve2.exe” sau „sasser.exe”).

Mai mult, acest vierme, dacă sunteți pe Windows XP, elimină și capacitatea de a opri manual computerul (elimină pictograma „Închidere” din ecranul de închidere).

Există cel puțin alte trei versiuni ale SASSER care au apărut toate în zilele imediat următoare lansării originalului.

Cum să-l eliminați

Mai întâi trebuie să rulați linia de comandă (mai frecvent cunoscută sub numele de „CMD”) și să tastați șirul „shutdown -a” (care înseamnă „Abort Shutdown”), astfel încât ecranul de repornire forțată să se închidă. Apoi, trebuie să rulați Regedit și să ștergeți cheia „HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ avserve.exe”, astfel încât viermele să nu mai poată fi activat la pornirea computerului. Apoi deschideți Managerul de activități și puteți observa imediat că toate procesele nu mai au un executor și apoi închideți procesul avserve.exe și astfel rezolvați și problema utilizării anormale a procesorului. Ștergeți fișierul „C: \ win.log” (opțional) și apoi fișierul „C: \ Windows \ avserve.exe”. În cele din urmă, reporniți computerul (rețineți că pictograma de oprire nu a fost eliminată, ci doar făcută invizibilă) și veți scăpa complet de viermele SASSER .

În cazul unei infecții a unei rețele de PC-uri, este recomandabil să efectuați procedura de mai sus câte un PC la un moment dat, în timp ce celelalte sunt oprite, astfel încât viermele conținut în celelalte mașini să nu se poată replica singur la finalizarea procedurii.

Paguba cauzata

Când caută alte gazde, SASSER deschide 128 de fire de scanare în același timp, furând resurse CPU și astfel împovărând puternic sistemul. Uneori viermele blochează serviciile pe care încearcă să le exploateze, generând astfel un mesaj de eroare. Tot în rădăcina C: se creează întotdeauna un fișier numit „win.log” (sau „win2.log”), care conține adresa IP a computerului local.

La apariția sa, SASSER a provocat daune grave rețelelor globale de calculatoare. Printre cele mai importante cazuri menționăm:

• Blocada a durat câteva ore de comunicații prin satelit ale agenției France Presse
• Anularea a numeroase zboruri intercontinentale ale companiei aeriene americane Delta Air Lines
• Aceștia au fost, de asemenea, afectați de virusul informatic al Gărzii de coastă britanice, al băncii finlandeze Sampo, al Deutsche Post și al Comisiei Europene.

Autorul

Autorul SASSER a fost identificat ca fiind Sven Jaschan, în vârstă de 18 ani, un student la informatică din Rotenburg care, arestat la 7 mai 2004 după o anchetă de trei luni, a recunoscut imediat că este autorul acestui vierme și al unor variante. din Netsky anterior. El a fost condamnat la 21 de luni de închisoare, însă, după comiterea infracțiunii când era încă minor, pedeapsa a fost suspendată. De marți, 9 octombrie 2007, sursa celei de-a treizeci și prima variantă de netsky (Netsky.AE) a apărut pe site-ul piratebay.

Elemente conexe

• Programe malware
• Windows Update

linkuri externe

Câteva articole ale Punto Informatico despre această problemă:

• SASSER, dacă un vierme atacă , pe punto-informatico.it .
• SASSER da. Dar fără a exagera , pe punto-informatico.it .
• Acuzația împotriva scriitorului de virus , pe punto-informatico.it , este un sabotaj .
• Apărându-vă de SASSER Microsoft Italia , pe microsoft.com .
• Cod sursă Netsky ^{[ link rupt ]} , pe thepiratebay.se .
• Efectele viermelui , pe youtube.com .

Portal de securitate IT : accesați intrările Wikipedia care se ocupă cu securitatea IT