Kezdolap  
 
   


W32/Sasser.worm.d

Adatlap

Felfedezés időpontja: 2004. 05. 03.
Eredet: Ismeretlen
Hossz: 16384 bájt
Típus: Vírus
Altípus: Internet programféreg
Szükséges adatbázis: 4357
Szükséges keresőmotor: 4.2.40

 

Előfordulás valószínűsége

Vállalati környezet: Közepes
Otthoni felhasználók: Közepes

 

Tulajdonságok

A programféreg ezen variánsa a következőkben tér el az eredeti, .a jelű verziótól:

  • Ez a verzió a SKYNETAVE.EXE fájlnevet használja. (16,384 bájt méretű)
  • ICMP csomagokkal (Ping) keresi a támadható számítógépeket
  • A távoli hozzáférés portja 9995-re változott

A programféreg a Microsoft Windows rendszerek MS04-011 jelű (CAN-2003-0533) sebezhetőségét kihasználva automatikusan terjed.

A programféreg a SKYNETAVE.EXE fájlnevet használja. A közelmúlt "nagy férgeivel" ellentétben nem terjed e-mailen, se felhasználói közreműködést nem igényel. A tavalyi W32/Lovsan.worm (Blaster) féreghez hasonlóan távoli sebezhetőség kihasználásával automatikusan terjeszti önmagát a sebezhető számítógépekre.

 

A fertőzés tünetei

A programféreg bemásolja magát a Windows könyvtárba skynetave.exe néven, és registry kulcsot készít az automatikus betöltődéshez.

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "skynetave.exe" = C:\(WINDOWS könyvtár)\skynetave.exe

A programféreg FTP szerverként működik az 5554-es, és távoli hozzáférést biztosít a 9995-ös porton.

A helyi számítógép IP-címét a C: meghajtó gyökér-könyvtárában lévő win2.log fájl tartalmazza.

A programféreg másolatai megtalálhatók a Windows System könyvtárban (4 vagy 5 véletlenszám)_up.exe néven

Példák

  • c:\WINDOWS\system32\11583_up.exe
  • c:\WINDOWS\system32\16913_up.exe
  • c:\WINDOWS\system32\5157_up.exe

A fertőzés jele és hatása az LSASS.EXE folyamat leállása, ami a számítógép újraindulásához vezet. Angol nyelvű rendszereken a következő ablakok jelennek meg:

 

A fertőzés menete

A programféreg egy, a vírus megjelenésekor körülbelül három hetes Microsoft sebezhetőséget használ ki, és felhasználó beavatkozás nélkül terjed gépről gépre.

A programféreg véletlenszerű IP-címeken keres sebezhető rendszereket. Amennyiben ilyet talál, az LSASS.EXE folyamat hibáját kihasználva távoli hozzáférést biztosít a támadott gép 9995-osTCP portján. Ezután egy cmd.ftp nevű FTP parancsfájt készít és lefuttatja azt, ezzel a támadott gép letölti a támadóról a programférget. A megfertőzött számítógép ezután már szintén FTP-szerverként használható annak 5554-es portján, illetve aktívan terjeszti a programférget.

A programféreg több szálon fut, melyek némelyike a számítógép alhálózatát, némelyike teljesen véletlenszerű IP-címeket vizsgál. A programféreg nem szkenneli a 10.0.0.0/8 és 192.168.0.0/16 alhálózati tartományokat, hacsak azok nem a helyi hálózat részei.

 

Eltávolítási utasítások

Minden felhasználónak:
A 4557-es adatbázisokkal és keresőmotorral a vírus tisztítható.

Az adatbázisok megjelenéséig a következő extra adatbázisok használhatók:
EXTRA.DAT
SUPER EXTRA.DAT

A fertőzött, vagy sebezhető rendszerek számára a következő frissítés telepítése szükséges:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Desktop Firewall
A terjedés megállítására javasolt az 5554-es, 9995-ös és 9996-os TCP portok tiltása bejövő irányban.

ThreatScan
ThreatScan felhasználók a fertőzés azonosítására futtassanak Resource Discovery taszkot a következő beállításokkal:

  • TCP port Scan
  • 5554-es, 9995-ös és 9996-os port

 

Egyéb elnevezések

W32.Sasser.D (Symantec)
W32/Sasser-D (Sophos)
W32/Sasser.D (F-Prot)
WORM_SASSER.D (Trend)

 
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2004.