Un nuovo virus si sta propagando attraverso sistemi Windows vulnerabili. Si tratta di Sasser e come il temibile Lovsan/Blaster per infiltrarsi nei computer vittima non richiede l'esecuzione di un allegato infetto da parte dell'utente.

Sasser infatti sfrutta una vulnerabilità documentata già da tempo da parte di Microsoft. Il worm si insinua nei computer vittima sfruttando un buffer overflow nel Local Security Authority Subsystem Service (Lsass), riscontrabile solo su sistemi Windows Xp e 2000 che non abbiano applicato l'opportuna patch.

La vulnerabilità è stata messa a nudo da Microsoft il 13 aprile 2004 nel Security Bullettin MS04-011. Lsass.exe è un componente del sistema operativo che si occupa di verificare la validità del nome utente e password al momento del logon.

Attivo nel sistema, il worm crea un terminale remoto sulla porta 9996/TCP ed esegue uno script in grado di generare una connessione sul protocollo FTP utile per scaricare ed eseguire il worm stesso sul sistema vittima. Il computer infetto verrà utilizzato per scansionare altri indirizzi Ip e continuare così il propagarsi del worm.

I sintomi di infezione sono la presenza nella cartella di Windows di un eseguibile chiamato avserve.exe e la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe necessaria per l'avvio automatico di Sasser. Non contento, il worm crea delle copie di se stesso in C:\Windows\System32 con nomi del tipo 11583_up.exe.

Mandando in crash lsass.exe molti sistemi affetti dal worm saranno obbligati a un riavvio improvviso annunciato da un messaggio d'errore relativo proprio al processo Lsass.

Le contromisure per non essere infettati da Sasser sono l'utilizzo di un firewall e lo scaricamento della patch di sicurezza messa a diposizione da Microsoft su Windows Update. Per chi invece fosse già infetto Microsoft ha rilasciato un tool in grado di rimuovere Sasser nelle sue varianti A e B.