SzukajSzukaj
dołącz do nasFacebookGoogleLinkedinTwitter

Nie dajmy się Sasserowi

Spada aktywność wirusa Sasser

Polska nie jest jednak jedynym celem ataku najnowszego robala. Sasser rozprzestrzenia na całym świecie. We wtorek zanotowano wiele ataków, a firmy zajmujące się bezpieczeństwem spodziewają się szczytu epidemii dzisiaj bądź jutro. Jak sobie z tym radzić?

Według nowych szacunków Sasser zaraził już prawie 10 000 000 komputerów. Liczba ta jednak wciąż się zmienia, bowiem jedne systemy są leczone, a inne w tym samym momencie zarażane - informuje Interia.pl.

Również na świecie Sasser zbiera obfite żniwo. Firma Mc Afee (producent oprogramowania zapewniającego bezpieczeństwo) poinformowała, że nawet największe firmy w USA (z listy Fortune 500) nie były przygotowane na atak Sassera. W jednej z nich wirus zainfekował ponad 1500 komputerów. Niekiedy atak robaka przyniósł wymierne szkody. Dla przykładu Delta Airlines miała poważne problemy w niedzielę, kiedy zaatakowała pierwsza wersja Sassera. Firma musiała odwołać część lotów, a przerwa w obsłudze klientów trwała ponad 6 godzin.

Firma Symantec poinformowała, że należy się cieszyć, iż kod wirusa jest tak niechlujnie napisany, bo mogłoby być znacznie gorzej. Na szczęście obecne wersje Sassera nie powodują większych zniszczeń, choć w najbliższej przyszłości można się spodziewać bardziej destrukcyjnych mutacji. Wirus rozprzestrzenia się jednak szybko, bowiem nie wymaga otwierania e-maili czy załączników do nich.

Wirus, napisany w języku C++, wykorzystuje lukę w zabezpieczeniach usługi LSASS systemów Windows. Luka ta została opisana w biuletynie MS04-011 firmy Microsoft. Szkodnik ma rozmiar około 15 KB (kompresja ZiPack). Tworzy w katalogu systemowym plik avserve.exe (czasem nazwa zakończona jest cyfrą, np avserve2.exe). Następnie tworzy w rejestrze systemowym klucz uruchamiający:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
avserve2.exe = %WINDIR%avserve2.exe

Z kolei wyświetla komunikat jak na obrazku, a następnie restartuje system Windows XP/2000. Po uaktywnieniu skanuje adresy IP w poszukiwaniu komputerów podłączonych do sieci, w których nie załatano luki w usłudze LSASS umożliwiającej atak wirusa. Do "dziurawego" komputera poprzez port TCP 9996 wysyłane są rozkazy umożliwiające pobranie z internetu kopii robaka. I cała procedura powtarza się. Dzieje się to znacznie szybciej niż czas, w jakim przeczytaliście ten opis. Aby usunąć wirusa należy wykonać czynności opisane przez nas wcześniej (zobacz Nie dajmy się Sasserowi).

Tymczasem liczba infekcji wirusem komputerowym Sasser spada. W chwili obecnej Sasser.B zajmuje drugie miejsce w zestawieniu najczęściej infekujących wirusów, z wynikiem 1,00%. Statystyki infekcji wykrytych w Polsce, w okresie od 1. do 5 maja prezentujemy w dalszej części tekstu informuje Panda Software Polska.

W32/Bagle.AB.worm 11,03%
Trj/Virtumonde.C 6,62%
W32/Netsky.X.worm 6,62%
W32/Bagle.pwdzip 6,62%
W32/Sasser.B.worm 5,88%
W32/Netsky.D.worm 3,68%
Trj/Keylog.L 3,68%
Trj/Downloader.L 2,94%
Bck/HacDef.G 2,94%
W32/Netsky.P.worm 2,94%
W32/Nachi.B.worm 2,21%
Bck/Jeem 2,21%
JS/Miner.A 2,21%
W32/Netsky.Q.worm 2,21%
Trj/Startpage.DH 2,21%
Bck/Sdbot.gen 1,47%
Trj/Netbus.170 1,47%
W32/Gaobot.JJ.worm 1,47%
W32/Mydoom.A.worm 1,47%
W32/Sasser.C.worm 1,47%
Newsletter WirtualneMedia.pl w Twojej skrzynce mailowej

Dołącz do dyskusji: Nie dajmy się Sasserowi

0 komentarze
Publikowane komentarze są prywatnymi opiniami użytkowników portalu. Wirtualnemedia.pl nie ponosi odpowiedzialności za treść opinii. Jeżeli którykolwiekz postów na forum łamie dobre obyczaje, zawiadom nas o tym redakcja@wirtualnemedia.pl