Il worm Sasser non si diffonde per e-mail ma sfrutta una vulnerabilità di Windows XP e 2000. Accertarsi di avere installato la patch risolutiva messa a punto da Microsoft
3 maggio 2004 E’ allarme in tutto il mondo per la repentina diffusione
del worm Sasser. Le modalità adottate sono simili a quelle utilizzate l’estate
scorsa da parte dell’ormai celeberrimo Blaster.
Sasser, infatti, sfrutta una vulnerabilità scoperta recentemente
nei sistemi operativi Windows e per la quale Microsoft ha rilasciato
(il 13 Aprile) un’apposita patch risolutiva (MS04-011). Ma in quanti hanno già
provveduto ad installarla?
Scritto in Visual C++, Sasser scansiona IP casuali
attraverso la porta 445 TCP: se trova un sistema non patchato copia
il file avserve.exe in C:\Windows
o in C:\Winnt
,
crea il file win.log in C: dove vengono memorizzate tutte le
informazioni sulla macchina infettata.
Per “autoeseguirsi” ad ogni avvio del personal computer, il virus,
una volta infettato un personal computer si aggiunge alla lista dei programmi
in esecuzione automatica (chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
del registro di sistema). Il virus non di
Windows\CurrentVersion\Run
propaga via posta elettronica, ma attraverso backdoor.
Sul sistema infetto, inoltre, verrà spesso mostrata a video una finestra
simile a quella visualizzata in seguito ad un’infezione da worm Blaster: si
viene avvisati di salvare tutto il lavoro in quanto la macchina – a causa di
un errore in C:\WINNT\system32\lsass.exe – verrà riavviata.
In effetti, per l’utente l’unico sintomo di infezione è il
continuo riavvio del PC.
Per maggiori informazioni, fate riferimento alla scheda virus di Sasser pubblicata
nella nostra nuova sezione Osservatorio virus.
In ogni caso, accertatevi di aver installato la patch MS04-011. Ricordiamo
che il virus interessa esclusivamente i sistemi Windows 2000, Windows XP e Windows
Server 2003.