Arriva il worm Sasser

Un pericoloso virus in grado di infettare sistemi Windows senza essere eseguito.

[ZEUS News - www.zeusnews.it - 03-05-2004]

Un nuovo virus si sta propagando attraverso sistemi Windows vulnerabili. Si tratta di Sasser e come il temibile Lovsan/Blaster per infiltrarsi nei computer vittima non richiede l'esecuzione di un allegato infetto da parte dell'utente.

Sasser infatti sfrutta una vulnerabilità documentata già da tempo da parte di Microsoft. Il worm si insinua nei computer vittima sfruttando un buffer overflow nel Local Security Authority Subsystem Service (Lsass), riscontrabile solo su sistemi Windows Xp e 2000 che non abbiano applicato l'opportuna patch.

La vulnerabilità è stata messa a nudo da Microsoft il 13 aprile 2004 nel Security Bullettin MS04-011. Lsass.exe è un componente del sistema operativo che si occupa di verificare la validità del nome utente e password al momento del logon.

La particolarità di Sasser è dovuta al fatto che il worm, per trovare sistemi in cui sia presente la vulnerabilità in lsass.exe, scansiona un gran numero di indirizzi Ip casuali e una volta trovato un sistema non patchato sfrutta il buffer overflow e si insinua nel computer vittima.

Attivo nel sistema, il worm crea un terminale remoto sulla porta 9996/TCP ed esegue uno script in grado di generare una connessione sul protocollo FTP utile per scaricare ed eseguire il worm stesso sul sistema vittima. Il computer infetto verrà utilizzato per scansionare altri indirizzi Ip e continuare così il propagarsi del worm.

I sintomi di infezione sono la presenza nella cartella di Windows di un eseguibile chiamato avserve.exe e la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe necessaria per l'avvio automatico di Sasser. Non contento, il worm crea delle copie di se stesso in C:\Windows\System32 con nomi del tipo 11583_up.exe.

Mandando in crash lsass.exe molti sistemi affetti dal worm saranno obbligati a un riavvio improvviso annunciato da un messaggio d'errore relativo proprio al processo Lsass.

Le contromisure per non essere infettati da Sasser sono l'utilizzo di un firewall e lo scaricamento della patch di sicurezza messa a diposizione da Microsoft su Windows Update. Per chi invece fosse già infetto Microsoft ha rilasciato un tool in grado di rimuovere Sasser nelle sue varianti A e B.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Matteo Campofiorito - Olimpo Informatico

Commenti all'articolo (ultimi 5 di 13)

emilio.roda

holy shit Leggi tutto
16-11-2005 20:09

LSASS.EXE Leggi tutto
12-6-2004 00:45

Tommaso

Ma quanto sarà scemo bill gheits! Leggi tutto
20-5-2004 19:05

pingui

LINUX Leggi tutto
6-5-2004 02:20

pippolo

virus, cosa sono ? Leggi tutto
5-5-2004 23:29

Leggi gli altri 8 commenti nel forum Pronto Soccorso Virus
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


Maipiusenza(6 commenti) HP EliteBoard G1a, un intero PC Windows 11 dentro una tastiera ultrasottile	News(3 commenti) SanDisk manda in pensione gli SSD WD Blue e Black. Debutta la linea Optimus

News(7 commenti)

IPv6 compie 30 anni: progressi e ritardi. Perché il mondo resta ancora con IPv4?

News(12 commenti)

Lo SPID delle Poste diventa a pagamento: canone per 30 milioni di utenti, con qualche eccezione

News(6 commenti)

ChatGPT, arriva la pubblicità nelle risposte

News(3 commenti)

L'iPhone 17 Pro sibila durante la ricarica, il motivo è misterioso

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Quali sono i rischi maggiori del cloud computing?

	Distributed Denial of Service (DDoS): cresce l'impatto dei tempi di indisponibilità di un sito web, che possono costare perdite di milioni di euro in termini di introiti, produttività e immagine aziendale.
	Frode: perpetrata da malintenzionati con l'obiettivo di trafugare i dati di un sito e creare storefront illegittimi, o da truffatori che intendono impadronirsi di numeri di carte di credito, la frode tende a colpire - prima o poi - tutte le aziende.
	Violazione dei dati: le aziende tendono a consolidare i dati nelle applicazioni web (dati delle carte di credito ma anche di intellectual property, ad esempio); gli attacchi informatici bersagliano i siti e le infrastrutture che le supportano.
	Malware del desktop: un malintenzionato riesce ad accedere a un desktop aziendale, approfittandone per attaccare i fornitori o le risorse interne o per visualizzare dati protetti. Come il trojan Zeus, che prende il controllo del browser dell'utente.
	Tecnologie dirompenti: pur non essendo minacce nel senso stretto del termine, tecnologie come le applicazioni mobile e il trend del BYOD (bring-your-own-device) stanno cambiando le regole a cui le aziende si sono attenute sino a oggi.