Sasser атакует - Безопасность

feronix · 02.05.2004, 18:06

В Сети появился новые черви Worm.Win32.Sasser.a и Worm.Win32.Sasser.b, эксплуатирующие уязвимость в службе LSASS Microsoft Windows. Данная "дыра" позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP.

Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.

При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack.

ВЗЯТО отсюда

jedi2003 · 02.05.2004, 19:40

вчера вроде вывел...седня опять появился...
вообщем, боремся...кстати, появился даже после того как симнатековской спец. утилиткой прогнал. =\

R!xon · 02.05.2004, 23:05

интересноб было почитать что этот червяк делает, опять нибось ddos micro$oft.com gigi

03.05.2004, 00:33

jedi2003
Сам вчера хватанул эту заразу. Сообщил об ошибке и предложил перегрузить комп. У тебя такие же симптомы были? Кстати я его удалил нортоном корпоративным и пока все в порядке.

CrazyCat · 03.05.2004, 00:44

а я не могу зайти на симантека сайт ...чего бы это ?
может слишком много народа там?

03.05.2004, 11:53

CrazyCat
Что ты имеешь ввиду? Не можешь зайти в осле или не обновляются базы?

sxs · 03.05.2004, 19:49

Я эту бяку ещё в субботу схватил, он интернет вырубает напрочь (создаёт 128 одновременных подключений) и дядю нортона он тоже как то заткнул :-(((

Пришлось винду по новой ставить, потом опять схватил, но вовремя заплатки налепил от мелкомягких.
Пока всё путём.

feronix · 03.05.2004, 20:51

jedi2003

Цитата:

седня опять появился...
вообщем, боремся...кстати, появился даже после того как симнатековской спец. утилиткой прогнал. =\

Поставь соответствующие заплатки: http://www.imho.ws/showpost.php?p=475129&postcount=35

или закрой 445'й порт и всё будет нормально: более не заберётся!

R!xon
Если бы ты написал подобный червяк что бы он делал?

feronix · 03.05.2004, 21:19

Червь Sasser написан дилетантом

Появившийся в пятницу сетевой червь быстро размножается, но, к счастью, содержит в себе некоторые ошибки, значительно снижающие его разрушительный потенциал.

Как сообщает агентство CNET со ссылкой на экспертов компании eEye Digital Security, новый червь «написан человеком, которому едва хватило знаний, чтобы заставить его работать». В интервью агентству господин Марк Майфретт (Marc Maiffret), возглавляющий в eEye Digital Security аналитический отдел, выразил сдержанное удивление относительно того, что червяку вообще удается перебираться с одного компьютера на другой: настолько плохо он сделан.

Sasser эксплуатирует ошибку в реализации подсистемы LSASS (Local Security Authority Subsystem Service), обнаруженную в Windows XP/2000 и 2003 Server. Обнаружив в сети незащищенную машину, червь устанавливает с ней удаленное соединение, устанавливает FTP-сервер и отправляет на нее свою копию.

Распространение вируса началось в пятницу в конце рабочего дня, и за прошедшие двое суток он, если верить BBC News, уже успел поразить несколько миллионов пользовательских машин. Больше всего эксперты опасаются, что темпы распространения вируса могут значительно возрасти после того, как в офисах появятся отоспавшиеся за неделю сотрудники с зараженными лэптопами. Как это уже было в случае с «Бластером» и некоторыми другими, наделавшими немало бед червями, заражение хорошо защищенных от внешнего нападения корпоративных сетей может начаться изнутри, когда сотрудники примутся синхронизировать свои зараженные червем портативные компьютеры с настольными системами.

Взято отсюда

R!xon · 04.05.2004, 01:43

качаем Removal Tool: http://securityresponse.symantec.com...r/FxSasser.exe
обнаруживает

Антивирусные базы на Norton AntiVirus (если не обновляется через LiveUpdate) можно скачать с этой паги: http://securityresponse.symantec.com...es/US-N95.html

feronix · 04.05.2004, 18:57

R!xon
Ты уже давно на форуме. Но Правила нарушаешь: ПРЯМЫЕ ссылки на файл ТОЛЬКО в разделе AppZ.

feronix · 04.05.2004, 18:59

Автора интернет-червя Sasser уже ищут

Компания Microsoft «сотрудничает с правоохранительными органами», на предмет установления личности автора очередного червя, поразившего множество компьютеров по всему миру и успевшего причинить уже немалый ущерб, сообщает Internet.ru

По информации журнала PC World, компания Microsoft самым тесным образом сотрудничает с сотрудниками органов правопорядка, включая специалистов Северо-западной группы по раскрытию киберпреступлений (Northwest CyberCrime Taskforce), с целью «идентификации лиц, ответственных за злонамеренную деятельность».

Как мы уже сообщали, червь Sasser был впервые обнаружен антивирусными компаниями в пятницу 30 апреля. Его автор выбрал в качестве цели брешь в компоненте Windows, известном как Local Security Authority Subsystem Service, или LSASS. Согласно задумке неизвестного героя, его червь поражает любой компьютер, работающий под управлением Windows XP/2000/2003 Server, с открытым 445-м портом. Несмотря на то, что соответствующий патч за номером MS04-011 был выпущен еще 13 апреля, уже за первые дни распространения червя были заражены сотни тысяч, а то и миллионы компьютеров, владельцы которых поленились скачать с сайта Microsoft относительно небольшой фрагмент программного кода.

Так, служба BBC News пишет, что Национальная почтовая служба Тайваня была вынуждена закрыть треть своих офисов, компьютерное оборудование которых оказалось парализованным из-за бесчинства злокозненного червяка. Согласно жалобам, поступившим от операторов, сегодня примерно в десять утра по местному времени их машины принялись самостоятельно перезагружаться, не давая им нормально работать. Понятное дело, что уже через несколько минут перед кассами толпились огромные очереди разгневанных клиентов. Примерно такая же ситуация сложилась и в Финляндии, где местная страховая компания также закрыла на профилактику все свои 130 отделений.

К счастью, червь не относится к разряду деструктивных: установив свою копию на компьютере, он перезагружает машину несколько раз подряд, а затем устремляется на поиски новых жертв. Главной неприятностью, вызванной Sasser’ом, может стать невозможность нормально работать в течение нескольких десятков минут, а также увеличение объемов паразитного трафика, что затруднит путешествия по Сети, а также поставит ряд товарищей, пользующихся тарифными планами с расчетом за трафик, под финансовый удар.

Взято отсюда

oXyd · 05.05.2004, 09:01

Panda QuickRemover for Sasser.A
Panda Quick Remove for Sasser.B
Microsoft Sasser (A-D) Worm Removal Tool (new)

Цитата:

Сообщение от feronix
Но Правила нарушаешь: ПРЯМЫЕ ссылки на файл ТОЛЬКО в разделе AppZ.

В правилах написано "No warez links here". Это совсем не варез и мы не в разделе Программы.

feronix · 05.05.2004, 09:44

oXyD
Ты неправ: ссылки на файл возможны ТОЛЬКО в разделе AppZ, будь то варёз или не варёз. Это как-то сказал один из модеров AppZ

Закончим флейм!

feronix · 05.05.2004, 09:48

Ну, вот и дождались: сегодня с утра слышал, как по телеку журналисты говорили о "загадочном вирусе", который поражает компьютер НЕ через электронную почту и даже в то время, когда человек не сидит за компом.

Ждите: скоро обвинят в создании вируса "злобных хакеров"!

Clown · 05.05.2004, 10:30

Вчера по случаю словил W32.Sasser.B.Worm Дилетантом он написан или нет, но несколько часов я угробил, пока разобрался - что к чему. На абсолютно новую машину посадил home xp с ориг. диска, поставил все драйвера.... и тут она начала переодически ребутиться с ошибкой в .dll библиотеке. Вроде с этим разобрался, и тут инет умер, едва родившись. Причём gateway и DNS сервера пингуются на ура, VPN с удалённым сервером замыкается нормально, а пакеты не проходят .... вообще. Инет отсутствует напрочь. В общем, только когда я нашёл левый процесс (avserve2.exe), до меня, наконец дошло, что триппер уже пролез в "окно".

Goor · 06.05.2004, 01:56

to Clown, а поподробней можешь, здесь дейтче телеком с прошлой субботы звенит o avserve.exe у них супорт, стал действительно горячей линией, лично часа 2 прозванивался, о том что файло никак не хочет уничтожаться, я слава богу его
не видел, ну что за геморой с уничтожением ????

feronix · 06.05.2004, 10:28

Goor
Скорее всего, просто не выгрузили его из памяти. Выгрузите из памяти, а потом уничтожай на диске.
И не забудьте удалить его из ключа автозапуска (его ключ в шапке написан)

feronix · 06.05.2004, 10:42

Варианты червя Sasser опаснее оригинала

Как и оригинальный червь, три новые программы — Sasser.B, Sasser.C и Sasser.D — используют брешь в защите непропатченных версий Windows XP и Windows 2000. Заражая уязвимые системы, червь организет дистанционное соединение с целевым компьютером, устанавливает сервер File Transfer Protocol (FTP), а затем загружает в новый хост собственную копию, сообщает Zdnet.

Оригинальная версия червя Sasser распространялась медленно, но в субботу онлайновые вандалы выпустили Sasser.B, заражающий компьютеры гораздо быстрее. К понедельнику появились еще два варианта червя, и число зараженных систем стали измерять сотнями тысяч. «Червь значительно усовершенствован, — говорит старший директор центра секьюрити-реагирования Symantec Альфред Хьюгер. В понедельник утром Symantec насчитала не менее 10 тыс. подтвержденных случаев заражения и выразила предположение, что заражены сотни тысяч компьютеров.

Для Массачусетского университета в Амхерсте Sasser оказался суровым испытанием. По словам менеджера по эксплуатации университетских сетей Скотта Конти, от Sasser здесь пострадало 1100 компьютеров. Если многие другие университеты потратили на борьбу с червем весь уикенд, то Массачусетский университет держался, пока кто-то не подключил к сети зараженный компьютер.

Каждый семестр Конти и его коллегам приходится иметь дело примерно с 5000 случаев заражений червями, вирусами и бот-программами. «Как это ни досадно, но борьба с атаками теперь становится неотъемлемой частью нашего бизнес-плана», — сетует он.

Взято отсюда

Clown · 06.05.2004, 12:03

Цитата:

Сообщение от Goor

to Clown, а поподробней можешь, здесь дейтче телеком с прошлой субботы звенит o avserve.exe у них супорт, стал действительно горячей линией, лично часа 2 прозванивался, о том что файло никак не хочет уничтожаться, я слава богу его
не видел, ну что за геморой с уничтожением ????

Да вроде геморроя никакого нет. Симантековкий tool чистит без проблем (см. ссылку R!xon). Только не забывайте перед чисткой вырубать System Restore (в Me и Хр), а то там могут копии оставаться, по идее. Впрочем я бы рекомендовал System Restore отключать в любом случае.

Я не думаю, что на нормально "упакованном" компе вообще могут быть какие-то проблемы. Я "попал" только потому, что просто НЕ УСПЕЛ до заражения ничего поставить на комп, кроме системы, и вышел в инет.

02.05.2004, 18:06	# 1
feronix Banned Регистрация: 22.04.2004 Адрес: Питер Сообщения: 376	Sasser атакует В Сети появился новые черви Worm.Win32.Sasser.a и Worm.Win32.Sasser.b, эксплуатирующие уязвимость в службе LSASS Microsoft Windows. Данная "дыра" позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem). Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число. При запуске червь регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] avserve2.exe = %WINDIR%\avserve2.exe Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack. ВЗЯТО отсюда

03.05.2004, 00:44	# 5
CrazyCat Junior Member Регистрация: 07.05.2003 Адрес: israel Сообщения: 59	а я не могу зайти на симантека сайт ...чего бы это ? может слишком много народа там? __________________ Господство над своими страстями - свойство высшего величия духа !!!

04.05.2004, 01:43	# 10
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	качаем Removal Tool: http://securityresponse.symantec.com...r/FxSasser.exe обнаруживает W32.Sasser.Worm W32.Sasser.B.Worm W32.Sasser.C.Worm Антивирусные базы на Norton AntiVirus (если не обновляется через LiveUpdate) можно скачать с этой паги: http://securityresponse.symantec.com...es/US-N95.html

05.05.2004, 10:30	# 16
Clown Квази-Мод Регистрация: 11.11.2002 Адрес: Circus Пол: Male Сообщения: 2 828	Вчера по случаю словил W32.Sasser.B.Worm Дилетантом он написан или нет, но несколько часов я угробил, пока разобрался - что к чему. На абсолютно новую машину посадил home xp с ориг. диска, поставил все драйвера.... и тут она начала переодически ребутиться с ошибкой в .dll библиотеке. Вроде с этим разобрался, и тут инет умер, едва родившись. Причём gateway и DNS сервера пингуются на ура, VPN с удалённым сервером замыкается нормально, а пакеты не проходят .... вообще. Инет отсутствует напрочь. В общем, только когда я нашёл левый процесс (avserve2.exe), до меня, наконец дошло, что триппер уже пролез в "окно". __________________ Подробнее об этом читайте на ЗЕРКАЛЕ

06.05.2004, 01:56	# 17
Goor Модератор Регистрация: 08.07.2002 Адрес: Germany Сообщения: 397	to Clown, а поподробней можешь, здесь дейтче телеком с прошлой субботы звенит o avserve.exe у них супорт, стал действительно горячей линией, лично часа 2 прозванивался, о том что файло никак не хочет уничтожаться, я слава богу его не видел, ну что за геморой с уничтожением ???? __________________ Системных администраторов нужно убивать еще в маленьком возрасте, когда они еще только "ламеры" (посвящено другу) В.И.Ленин(Письмо к Фейрбаху, Том12)

02.05.2004, 19:40	# 2
jedi2003 Newbie Регистрация: 25.04.2003 Сообщения: 35	вчера вроде вывел...седня опять появился... вообщем, боремся...кстати, появился даже после того как симнатековской спец. утилиткой прогнал. =\

02.05.2004, 23:05	# 3
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	интересноб было почитать что этот червяк делает, опять нибось ddos micro$oft.com gigi

03.05.2004, 00:33	# 4
djon72 Guest Сообщения: n/a	jedi2003 Сам вчера хватанул эту заразу. Сообщил об ошибке и предложил перегрузить комп. У тебя такие же симптомы были? Кстати я его удалил нортоном корпоративным и пока все в порядке.

03.05.2004, 11:53	# 6
djon72 Guest Сообщения: n/a	CrazyCat Что ты имеешь ввиду? Не можешь зайти в осле или не обновляются базы?

03.05.2004, 19:49	# 7
sxs Junior Member Регистрация: 05.08.2003 Адрес: Germany Сообщения: 181	Я эту бяку ещё в субботу схватил, он интернет вырубает напрочь (создаёт 128 одновременных подключений) и дядю нортона он тоже как то заткнул :-((( Пришлось винду по новой ставить, потом опять схватил, но вовремя заплатки налепил от мелкомягких. Пока всё путём.

03.05.2004, 21:19	# 9
feronix Banned Регистрация: 22.04.2004 Адрес: Питер Сообщения: 376	Червь Sasser написан дилетантом Появившийся в пятницу сетевой червь быстро размножается, но, к счастью, содержит в себе некоторые ошибки, значительно снижающие его разрушительный потенциал. Как сообщает агентство CNET со ссылкой на экспертов компании eEye Digital Security, новый червь «написан человеком, которому едва хватило знаний, чтобы заставить его работать». В интервью агентству господин Марк Майфретт (Marc Maiffret), возглавляющий в eEye Digital Security аналитический отдел, выразил сдержанное удивление относительно того, что червяку вообще удается перебираться с одного компьютера на другой: настолько плохо он сделан. Sasser эксплуатирует ошибку в реализации подсистемы LSASS (Local Security Authority Subsystem Service), обнаруженную в Windows XP/2000 и 2003 Server. Обнаружив в сети незащищенную машину, червь устанавливает с ней удаленное соединение, устанавливает FTP-сервер и отправляет на нее свою копию. Распространение вируса началось в пятницу в конце рабочего дня, и за прошедшие двое суток он, если верить BBC News, уже успел поразить несколько миллионов пользовательских машин. Больше всего эксперты опасаются, что темпы распространения вируса могут значительно возрасти после того, как в офисах появятся отоспавшиеся за неделю сотрудники с зараженными лэптопами. Как это уже было в случае с «Бластером» и некоторыми другими, наделавшими немало бед червями, заражение хорошо защищенных от внешнего нападения корпоративных сетей может начаться изнутри, когда сотрудники примутся синхронизировать свои зараженные червем портативные компьютеры с настольными системами. Взято отсюда

04.05.2004, 18:57	# 11
feronix Banned Регистрация: 22.04.2004 Адрес: Питер Сообщения: 376	R!xon Ты уже давно на форуме. Но Правила нарушаешь: ПРЯМЫЕ ссылки на файл ТОЛЬКО в разделе AppZ.

04.05.2004, 18:59	# 12
feronix Banned Регистрация: 22.04.2004 Адрес: Питер Сообщения: 376	Автора интернет-червя Sasser уже ищут Компания Microsoft «сотрудничает с правоохранительными органами», на предмет установления личности автора очередного червя, поразившего множество компьютеров по всему миру и успевшего причинить уже немалый ущерб, сообщает Internet.ru По информации журнала PC World, компания Microsoft самым тесным образом сотрудничает с сотрудниками органов правопорядка, включая специалистов Северо-западной группы по раскрытию киберпреступлений (Northwest CyberCrime Taskforce), с целью «идентификации лиц, ответственных за злонамеренную деятельность». Как мы уже сообщали, червь Sasser был впервые обнаружен антивирусными компаниями в пятницу 30 апреля. Его автор выбрал в качестве цели брешь в компоненте Windows, известном как Local Security Authority Subsystem Service, или LSASS. Согласно задумке неизвестного героя, его червь поражает любой компьютер, работающий под управлением Windows XP/2000/2003 Server, с открытым 445-м портом. Несмотря на то, что соответствующий патч за номером MS04-011 был выпущен еще 13 апреля, уже за первые дни распространения червя были заражены сотни тысяч, а то и миллионы компьютеров, владельцы которых поленились скачать с сайта Microsoft относительно небольшой фрагмент программного кода. Так, служба BBC News пишет, что Национальная почтовая служба Тайваня была вынуждена закрыть треть своих офисов, компьютерное оборудование которых оказалось парализованным из-за бесчинства злокозненного червяка. Согласно жалобам, поступившим от операторов, сегодня примерно в десять утра по местному времени их машины принялись самостоятельно перезагружаться, не давая им нормально работать. Понятное дело, что уже через несколько минут перед кассами толпились огромные очереди разгневанных клиентов. Примерно такая же ситуация сложилась и в Финляндии, где местная страховая компания также закрыла на профилактику все свои 130 отделений. К счастью, червь не относится к разряду деструктивных: установив свою копию на компьютере, он перезагружает машину несколько раз подряд, а затем устремляется на поиски новых жертв. Главной неприятностью, вызванной Sasser’ом, может стать невозможность нормально работать в течение нескольких десятков минут, а также увеличение объемов паразитного трафика, что затруднит путешествия по Сети, а также поставит ряд товарищей, пользующихся тарифными планами с расчетом за трафик, под финансовый удар. Взято отсюда

05.05.2004, 09:44	# 14
feronix Banned Регистрация: 22.04.2004 Адрес: Питер Сообщения: 376	oXyD Ты неправ: ссылки на файл возможны ТОЛЬКО в разделе AppZ, будь то варёз или не варёз. Это как-то сказал один из модеров AppZ Закончим флейм!

05.05.2004, 09:48	# 15
feronix Banned Регистрация: 22.04.2004 Адрес: Питер Сообщения: 376	Ну, вот и дождались: сегодня с утра слышал, как по телеку журналисты говорили о "загадочном вирусе", который поражает компьютер НЕ через электронную почту и даже в то время, когда человек не сидит за компом. Ждите: скоро обвинят в создании вируса "злобных хакеров"!

06.05.2004, 10:28	# 18
feronix Banned Регистрация: 22.04.2004 Адрес: Питер Сообщения: 376	Goor Скорее всего, просто не выгрузили его из памяти. Выгрузите из памяти, а потом уничтожай на диске. И не забудьте удалить его из ключа автозапуска (его ключ в шапке написан)

06.05.2004, 10:42	# 19
feronix Banned Регистрация: 22.04.2004 Адрес: Питер Сообщения: 376	Варианты червя Sasser опаснее оригинала Как и оригинальный червь, три новые программы — Sasser.B, Sasser.C и Sasser.D — используют брешь в защите непропатченных версий Windows XP и Windows 2000. Заражая уязвимые системы, червь организет дистанционное соединение с целевым компьютером, устанавливает сервер File Transfer Protocol (FTP), а затем загружает в новый хост собственную копию, сообщает Zdnet. Оригинальная версия червя Sasser распространялась медленно, но в субботу онлайновые вандалы выпустили Sasser.B, заражающий компьютеры гораздо быстрее. К понедельнику появились еще два варианта червя, и число зараженных систем стали измерять сотнями тысяч. «Червь значительно усовершенствован, — говорит старший директор центра секьюрити-реагирования Symantec Альфред Хьюгер. В понедельник утром Symantec насчитала не менее 10 тыс. подтвержденных случаев заражения и выразила предположение, что заражены сотни тысяч компьютеров. Для Массачусетского университета в Амхерсте Sasser оказался суровым испытанием. По словам менеджера по эксплуатации университетских сетей Скотта Конти, от Sasser здесь пострадало 1100 компьютеров. Если многие другие университеты потратили на борьбу с червем весь уикенд, то Массачусетский университет держался, пока кто-то не подключил к сети зараженный компьютер. Каждый семестр Конти и его коллегам приходится иметь дело примерно с 5000 случаев заражений червями, вирусами и бот-программами. «Как это ни досадно, но борьба с атаками теперь становится неотъемлемой частью нашего бизнес-плана», — сетует он. Взято отсюда