Sasser атакует

[feronix]

ФБР открыло "охоту" на авторов червя Sasser

Федеральное бюро расследований США начало "охоту" на авторов вредоносной программы Sasser, эпидемия которой началась во Всемирной сети 1 мая. Червь Sasser, напомним, способен поражать компьютеры, работающие под управлением операционных систем Microsoft Windows 2000 и Windows ХР, используя дыру в локальной подсистеме аутентификации пользователей (LSASS). Несмотря на то, что данные о количестве зараженных машин серьезно варьируются, эксперты полагают, что на сегодняшний день инфицировано не менее миллиона ПК. Кстати, в течение всего двух суток с момента появления вируса специально созданную Microsoft страничку с описанием способов защиты от возможных атак посетили более полутора миллионов человек.

Специалисты по вопросам компьютерной безопасности и правоохранительные органы, между тем, начали расследование с целью поимки создателей червя. В частности, по словам представителей финской компании F-Secure, проанализировавшей коды Sasser.D и Netsky.V, между двумя этими вирусами есть заметные сходства. Впрочем, вряд ли данная информация действительно поможет выйти на след злоумышленников, поскольку о создателях уже почти 30 модификаций вредоносной программы Netsky не известно ровным счетом ничего.

Нужно добавить, что наиболее ощутимый урон червь Sasser нанес домашним пользователям и небольшим компаниям. Правда, некоторым крупным организациям также не удалось избежать проблем. Например, в Новом Орлеане (штат Луизиана) были отключены компьютерные системы примерно пятисот больниц; вирус поразил компьютеры Европейской комиссии, крупных банков, почтовых отделений и пр. Эксперты в очередной раз советуют всем пользователям уязвимых операционных систем загрузить заплатки Microsoft и установить брандмауэры, хотя сейчас эпидемия Sasser пошла на спад.

Взято отсюда

По поводу невозможности зайти на сайт Семантика. Я тоже подхватил этот вирус и тоже не мог зайти на symantec.com. А потом обнаружил причину в том, что в файл c:\WINDOWS\system32\drivers\etc\hosts внесены адреса большинства антивирусных компаний и перенаправлены на 127.0.0.1, т.е. на сам локальный компьютер. Работа ли это данного антиивруса - неуверен, но тем кот его схватил можно проверить файл hosts и почистить его.

KAV 5.0 bez utilit spravlaetsa

a esli hotite besplatno on nego po4istitsa... vot utilka ot KAVa

http://downloads1.kaspersky-labs.com/utils/clrav/

[Goor]

to Clown, я же писал, что его в глаза не видел, просто в германии основной провайдер только о нем и шумит, поэтому спросил на всякий случай, ну так чтобы готовым быть ))))

[oXyd]

Автор вируса Sasser сознался

Германская полиция арестовала 18-летнего юношу, который сознался в создании компьютерного вируса Sasser, заразившего 18 миллионов компьютеров по всему миру.
О признании молодого человека сообщил представитель полиции федеральной земли Нижняя Саксония Франк Федерау.
Полиция не называет имени арестованного. Онлайн издание гамбургского еженедельника "Шпигель" утверждает, что это некий Свен. Он только что закончил школу и собирался продолжать занятия информатикой. Ранее некоторые эксперты высказывали предположение, что человек. создавший вирус, находится в России.
Как информирует читателей интернет-ресурс другого немецкого еженедельника - "Штерн", есть подозрения, что хакер из Нижней Саксонии имеет отношение к созданию еще одного вируса - Netsky.ac, который появился в минувший четверг. Sasser был запущен в сеть 1 мая. В доме родителей юноши проведен обыск, и, по данным полиции, обнаружено множество улик
В поисках кибер-злоумышленника принимали участие не только немецкие правоохранительные органы.
В отличие от вирусов, распространяющихся через электронную почту и приложения к письмам, Sasser загружается из интернета напрямую, после чего атакует последние версии операционной системы Windows и заставляют компьютер выключаться.

Жертвы вируса
Больше всего от нового вируса пострадали домашние компьютеры и небольшие фирмы, хотя серьезные проблемы испытали и некоторые крупные компании.
Только в почтовой службе Германии зараженными оказались до 300 тысяч терминалов, из-за чего сотрудники оказались не в состоянии выдавать клиентам наличные деньги.
Жертвами "червя" стали также компьютеры инвестиционного банка Goldman Sachs, Европейской комиссии, 19 региональных офисов управления береговой охраны Британии.
Во вторник вечером у авиакомпании British Airways в одном из терминалов лондонского аэропорта Хитроу отказала половина всех компьютеров на стойках регистрации пассажиров.
В американском городе Новый Орлеан до 500 больниц были закрыты в течение нескольких часов; жертвами вируса оказались также социальные и здравоохранительные учреждения в Вашингтоне.

http://news.bbc.co.uk/low/russian/sci/tech/newsid_3695000/3695909.stm

[feronix]

Новость не радует
Ну, нафиг он сознался?

[Clown]

Где-то писали, что парнишку, вроде, знакомые "сдали" за бабки... !?

[feronix]

Автор червя Sasser выпустил новую версию вируса после ареста

Немецкие правоохранительные органы, которые арестовали предполагаемого автора интернет-червя Sasser, сомневаются в том, что 18-летний школьник Свен Яшан (Sven Jaschan) мог создать программу такого уровня в одиночку, сообщает Lenta.ru.

К тому же, через несколько часов после ареста в интернет был запущен новый червь, аналогичный Sasser, который называется Sasser.e.

Во время ареста сотрудники правоохранительных органов застали программиста сидящим за своим компьютером, на диске которого был найден исходный код программы. Там же были обнаружены следы Sasser.e.

По словам специалистов, новый вирус отличается от основной версии Sasser - он призван снизить вредоносный эффект первого червя. Кроме того, Sasser.e пытается найти и уничтожить на зараженном компьютере червей-конкурентов Bagle.x и Bagle.w.

Однако, несмотря на то, что новая программа, как заявил представитель прокуратуры, была создана "из лучших побуждений", она также наносит вред, хотя и ограниченный.

Прокурор, который ведет дело подозреваемого нарушителя, опроверг также информацию о том, что червь был создан с целью прорекламировать компьютерный магазин, который принадлежит матери программиста. Юрист заявил, что, скорее всего, молодой человек, даже если он не создавал вирус, взял на себя ответственность, чтобы прославиться.

По мнению экспертов, автор Sasser'а может быть ответственен и за появление очередной разновидности почтового червя Netsky.ac.

Судебный процесс по делу Свена Яшана может начаться в конце июня.

Взято отсюда

[feronix]

Автор интернет-червя Sasser «просто хотел помочь маме»

У полиции немецкого города Верден, задержавшей автора червя Sasser, есть подозрение, что таким странным образом сынишка-вредитель хотел помочь раскрутить семейный бизнес.

По информации агентства Reuters, 18-летний Свен Яшан (Sven Jaschan), признавшийся в написании и распространении интернет-червя Sasser, возможно, пытался таким образом помочь в раскрутке маленькой компании PC Help, принадлежащей его матери и отчиму. По крайней мере, это предположение, высказанное автором журнала Der Spiegel, было поддержано пресс-секретарем прокуратуры города Верден, ведущей дело Яшана.

Как известно, Яшан был задержан в минувшую пятницу и в тот же день отпущен домой под подписку о невыезде. Предполагается, что дело Яшана будет рассматриваться в одном из местных судов уже в июне. С учетом того, что парня обвиняют ни много ни мало – в компьютерном саботаже, ему светит до пяти лет лишения свободы, хотя мера наказания, возможно, будет немного мягче, поскольку в предположительный момент написания вируса Яшану еще не было восемнадцати лет.

Другое дело, что помимо уголовного дела, заведенного против него властями Германии, Свену грозят отдельные гражданские иски от многочисленных компаний, пострадавших от его чрезмерно развитой креативности. Для того, чтобы приблизительно представить себе, какой может быть общая сумма иска о возмещении ущерба, достаточно сказать, что среди «клиентов» Яшана оказались такие крупные компании, как Delta Airlines, Goldman Sachs, австралийский Westpac Bank и даже Британская береговая охрана.

Взято отсюда

[KalaSh]

Показательный будет процесс, не часто ловят вирусописак. Что там говорит германское законодательство по этому поводу, может кто-то знает?

[feronix]

Цитата:

Сообщение от KalaSh

Показательный будет процесс, не часто ловят вирусописак. Что там говорит германское законодательство по этому поводу, может кто-то знает?

Наверняка ShooTer знает.
Но по моим представлением ему должны дать не более 5 лет. И то, может быть, условно.

[ReapeR]

В субботу подхватил этот вирус, он обнаружился когда я гонял простенькую игрушку, а комп у меня тормозил. С помощью PKiller'a убил я ентот avserve, стер с винта. поставил антивирус (дрвеб) нашел n_up.exe - его тож убил. фаром почистил реестр. внимание вопрос: имеет ли этот вирус какие нить побочные действия? может мне еще чего нить где нить почистить? (мусор во дворе не предлагать)

[feronix]

ReapeR
Вроде, в этой теме всё подробно описано про вирь. Единственный его эффект на комп - перезагрузки

[feronix]

Автор Sasser попытался предупредить своих жертв

Microsoft считает, что последний вариант червя, Sasser.E, был выпущен неделю назад. В нем предпринята попытка предупредить владельцев уязвимых компьютеров.

«Похоже, что тот, кто его выпустил, кто бы это ни был, попытался поставить людей в известность, что их системы уязвимы», — говорит старший менеджер центра секьюрити-реагирования Symantec Оливер Фридрихс. Компания впервые обнаружила копию червя в воскресенье днем, но Фридрихс говорит, что инфекция распространяется достаточно медленно, так что вполне можно предположить, что она появилась в начале недели.

В пятницу вечером в Германии был арестован обвиняемый в авторстве Sasser 18-летний житель Вафензена, городка в Нижней Саксонии. Правоохранительные органы уверены, что он же написал все 28 версий вируса массовой почтовой рассылки NetSky.

Последняя версия Sasser пытается обезвредить варианты Bagle, удаляя из системного реестра ключи, созданные конкурирующим червем. Предыдущие версии Sasser этого не делали. Код Sasser.E содержит следующее предупреждение для своих жертв:
1. Ваш компьютер находится под влиянием уязвимости MS04-011
Возможно, что ваш компьютер заражен опасными вирусами, подобными червю Blaster
2. Пожалуйста, установите на свой компьютер патч MS04-011 LSASS с веб-сайта www.microsoft.com
3. Это сообщение от SkyNet Team имеет целью предотвращение действий злоумышленников

Кроме того, Sasser.E создает remote shell на TCP port 1022, а не 9995, и использует протокол передачи файлов на TCP port 1023, а не 5554.

Антивирусная компания Panda Software предположила, что время этой атаки — после ареста подозреваемого — может указывать на то, что Sasser создает «организованная преступная группа». «Этот новый вариант пока мало распространен», — говорит международный технический редактор Panda Software Фернандо Делакуадро. По его мнению, медлительность инфекции объясняется главным образом тем, что с момента начала эпидемии Sasser в конце апреля пользователи пропатчили свои системы.

Взято отсюда

[INFINITL]

Может быть не совсем по теме... надо было поместить в раздел ЮМОР... но всё же...
Что нашла в местной газете о Sasser'е)))

"Электронный червь" паразил Италию.
Италия в понедельник подверглась атаке новейшего компьютерного вируса "Сассер", который распространяется, используя недостатки программного обеспечения "Windows". Десятки тысяч персональных компьютеров у частных пользователей и в различных организациях "зависли" и отключились на долгие часы.
Особенно большой ущерб был нанесён электронным системам Итальянских железных дорог и Государственной почты. На некоторое время вышли из строя даже компьютеры МВД Италии, но программистам удалось восстановить их работу буквально в считанные минуты.
Новый вирус является разновидностью так называемого "электронного червя" и поражает компьютер в момент входа в Интернет. Традиционные антивирусные программы не способны защитить компьютер от агрессивного "Сассера".
По оценкам экспертов, в мире около 300 миллионов компьютеров могут в ближайшее время стать объектами нападения вируса.

[pHroZen]

Я из-за этого паразита все майские праздники проработал, 350 зараженных машин и 7 серверов пришлось поднимать. Вирус в сети такой траффик создал, что локалка просто лежала. Пришлось вручную ставить патчи.

[feronix]

INFINITL
Одним словом: журналюги. Ну, что с них взять? Любят писать о том, в чём вообще не разбираются! Им лишь бы сенсация!

Цитата:

Италия в понедельник подверглась атаке новейшего компьютерного вируса

Он появился недели полторы назад. Какой он новый?

Цитата:

Десятки тысяч персональных компьютеров у частных пользователей и в различных организациях "зависли" и отключились на долгие часы.
Особенно большой ущерб был нанесён электронным системам Итальянских железных дорог и Государственной почты.

Хорошо, что канализация у них работает не на компах! А не то всё население бы вымерло от невозможности испражниться gigi Тады автору бы ещё терроризм приписали. Или геноцид

Цитата:

На некоторое время вышли из строя даже компьютеры МВД Италии, но программистам удалось восстановить их работу буквально в считанные минуты.

Ага: подождать пару перезагрузок или убить "левые" процессы в системе - это так долго

Цитата:

Традиционные антивирусные программы не способны защитить компьютер от агрессивного "Сассера".

Во-первых, он не агрессивный. Во-вторых, базы против этой заразы уже с неделю как обновились!

Цитата:

и поражает компьютер в момент входа в Интернет

Ага: только в инет вышел, и твой комп заражён.

yazz

Цитата:

350 зараженных машин и 7 серверов пришлось поднимать

Блин, разве так сложно заплатки вовремя поставить? Или лень настолько сильная?

Цитата:

Вирус в сети такой траффик создал, что локалка просто лежала

Это ещё учитывая, что в коде виря деструктивные способности уменьшены

Цитата:

Пришлось вручную ставить патчи.

Патчи надо ставить не тады, кады вирь или ещё кто "кладёт" компы, а тады, когда патч официально вышел. А до официального патча надо применять ВСЕ меры по максимальному устранению возможной опасности (например, стенку должным образом настроить)

[pHroZen]

Цитата:

Патчи надо ставить не тады, кады вирь или ещё кто "кладёт" компы, а тады, когда патч официально вышел.

это верно в масштабах маленьких предприятий. В больших компаниях, когда на компах установлены критичные системы, нельзя так просто скачать какой-то патч и поставить. Приходится соблюсти кучу процедур, провести тестирование на совместимость с учтановленным программным обеспечением и т.д. Были случаи несовместимости софта и патчей. Одна машина легла в дамп, пришлось откатываться с патча обратно. Бывает, что не успеваем

[feronix]

yazz

Цитата:

Приходится соблюсти кучу процедур, провести тестирование на совместимость с учтановленным программным обеспечением и т.д. Были случаи несовместимости софта и патчей.

Да: об этом я как-то неподумал... Но всё равно: вирь появился полторы недели назад (если не давнее). Официальный сплоит вышел за неделю до виря. Инфа об уязвимости появилась за ДВЕ недели до виря. Разве этого времени нехватает, чтоб протестить всё и принять соответствующие меры?

[pHroZen]

да я бы сам этим секьюрити офицерам навалял бы
просто как мне кажется, большая корпорация менее поворотливая