Sasser - mnoży się, atakuje i rozprzestrzenia

Pierwszy majowy weekend przyniósł nam nowego robaka internetowego. Insekt o nazwie Sasser, którego dwie wersje (Sasser.A, a następnie Sasser.B) pojawiły się w Sieci, może stać się dość dokuczliwy dla internautów powracających do swoich komputerów po kilku wolnych dniach. Przedstawiciele Symanteca mówią już o 10 tysiącach infekcji na całym świecie, podczas gdy inni eksperci szacują, iż do tej pory zakażeniu mogło ulec nawet 18 milionów komputerów. Symantec zaleca aktualizację oprogramowania antywirusowego. O to samo zabiega także Microsoft, wskazując na niedawno udostępniony zestaw poprawek, łatających lukę wykorzystywaną przez Sassera. Jakby jeszcze tego było mało - pojawia się Sasser.C i Sasser.D.

Sasser wykorzystuje lukę umożliwiającą przepełnienie bufora w module LSASS (Local Security Authority Subsystem Service) systemów operacyjnych Windows 2000, XP oraz 2003 Server i w efekcie, przejęcie kontroli nad komputerem. Luka ta została dokładnie omówiona w biuletynie bezpieczeństwa o numerze MS04-011 datowanym na 13 kwietnia ( http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ). Wtedy też Microsoft opublikował stosowny pakiet poprawek mających za zadanie neutralizację potencjalnego zagrożenia.

Infekcja Sasserem - bez naszej wiedzy

Wzrost ruchu na porcie docelowym TCP 445 wywołany działaniem Sassera.

Wzrost ruchu na porcie docelowym TCP 445 wywołany działaniem Sassera.

Obie odmiany Sassera mogą dostać się na komputer użytkownika bez jego wiedzy i udziału, (co upodabnia go do słynnego Blastera). Kopiują się do katalogu systemowego Windows po postacią plików o nazwie AVSERVE.EXE (Sasser.A) oraz AVSERVE2.EXE (Sasser.B), dokonując takich zmian w rejestrze, aby mogły automatycznie aktywować się za każdym uruchomieniem komputera. Następnie robak uruchamia serwer FTP na porcie TCP o numerze 5554, jednocześnie skanując sieć na porcie 445 w poszukiwaniu kolejnej ofiary – komputera z niezainstalowaną poprawką do LSASS. Przedstawiciele Microsoftu wspominają również o porcie 139. Gdy podatny na zainfekowanie komputer zostanie zlokalizowany, Sasser wysyła do niego specjalny pakiet, powodujący przepełnienie bufora. Zawiera on również instrukcje otwarcia na zdalnej maszynie portu 9996, którędy to przesyłana jest kopia robaka.

Ochrona przed Sasserem – błędne koło?

Widoczny symptom obecności robaka Sasser.B. Taka wiadomość jest efektem próby przepełnienia bufora w module LSASS

Widoczny symptom obecności robaka Sasser.B. Taka wiadomość jest efektem próby przepełnienia bufora w module LSASS

Sposobów zabezpieczenia się przed Sasserem jest kilka. Przede wszystkim specjaliści od bezpieczeństwa zalecają używanie firewalla. Kolejnym etapem jest aktualizacja definicji antywirusowych oraz zaopatrzenie się w odpowiednie programy likwidujące robaka z naszego komputera, które firmy antywirusowe również udostępniają. Najbardziej dyskusyjne wydaje się być jednak pobieranie i instalacja opublikowanego w połowie kwietnia zestawu poprawek Microsoftu, który łata lukę w oprogramowaniu, umożliwiającą wdarcie się Sassera. Okazuje się bowiem, iż po zainstalowaniu tych poprawek, niektórzy użytkownicy systemów Windows 2000 doświadczają niemałych problemów z pracą swoich komputerów. Nie chcą się one ponownie uruchamiać lub pracują zdecydowanie wolniej. Wspominaliśmy już o tym w artykule "Patch Microsoftu powoduje problemy" ( http://www.pcworld.pl/news/66128.html ). Jak twierdzi Michael Reavey – security program manager w Security Response Center Microsoftu: "Od momentu udostępnienia użytkownicy pobrali tę poprawkę w ponad 150 milionach kopii".

Kolejne wersje

Na domiar złego, w międzyczasie pojawiają się kolejne wersje Sassera. Symantec donosi o wersjach oznaczonych literami C i D, które sposobem działania nie odbiegają znacznie od poprzedników. Z kilkoma wyjątkami – Sasser.C do poszukiwania podatnych na infekcję komputerów w Internecie lub sieci lokalnej, wykorzystuje o wiele większe zasoby systemowe komputera, co może powodować w rezultacie jego spowolnioną pracę. Innowacją w odmianie Sasser.D jest natomiast nazwa pliku, pod którą robak ukrywa się w katalogu systemowym Windows – SKYNETAVE.EXE oraz skuteczniejsza metoda wykrywania podatnych na infekcję komputerów. Wszystkie obecnie znane wersje tego robaka nie powodują żadnych dodatkowych szkód w zainfekowanym systemie, jednak mogą skutecznie utrudnić nam pracę. Przedstawiciele Symanteca potwierdzili już ponad 10 tysięcy infekcji w ciągu weekendu, głównie spowodowanych wariantem Sasser.B. Inni eksperci podkreślają, iż nieświadomymi ofiarami Sassera mogło się stać do tej pory nawet 18 milionów komputerów na całym świecie.

Pościg za sprawcą - autorem Netsky’a?

Koncern z Redmond postanowił pomóc w schwytaniu autora Sassera, podejmując współpracę ze specjalnym zespołem pościgowym, w którego skład wchodzi Federalne Biuro Śledcze (FBI), służby Secret Service oraz lokalne siły policyjne. Tymczasem eksperci z firm antywirusowych podczas analizy kodu robaka natrafili na pewien ślad, który wskazuje na fakt, iż Sasser i Netsky mogą pochodzić od tej samej osoby. Dowodem może być najnowszy wariant Netsky, zauważony w poniedziałek (Netsky.AC). To właśnie w jego kodzie znaleziono następujący fragment: "Hey av firms, do you know that we have programmed the sasser virus?!? Yeah, thats true" (Hej, firmy antywirusowe, czy wiecie, że to my napisaliśmy wirusa Sasser?!? Tak, to prawda).

Producenci oprogramowania antywirusowego ostrzegli również, przed krążącym w Sieci e-mailem, mającym zawierać odnośnik do programu usuwającego z systemu robaka Sasser. W rzeczywistości, po kliknięciu na zawarty w wiadomości link, automatycznie pobierany i uruchamiany jest robak Netsky.AC.

Więcej informacji na temat wirusa:

http://bezpieczenstwo.idg.pl/news/watek/42.html

Przygotowaliśmy również specjalny pakiet zawierający 10 szczepionek do natychmiastowego pobrania:

http://bezpieczenstwo.idg.pl/ftp/pobierz_sasser.asp

Szczepionki przeciwko robakowi Sasser można również znaleźć w naszym serwisie FTP:

http://www.pcworld.pl/ftp/


Zobacz również