INTERNET: VIRUS SASSER, SI TEME UN'EPIDEMIA MONDIALE

Versione Completa   Stampa   Cerca   Utenti   Iscriviti     Condividi : FacebookTwitter
BASKET CONNECTION - PER LAURA » BASKET CONNECTION - PER LAURA » PRESENTAZIONI E OFF TOPIC » CHIACCHIERE
Walker - Lugo
00lunedì 3 maggio 2004 18:40
INTERNET: VIRUS SASSER, SI TEME UN'EPIDEMIA MONDIALE

ALLARME ROSSO GLOBALE PER VIRUS INTERNET WORM SASSER


--------------------------------------------------------------------------------

ROMA - Sono 300 milioni in tutto il mondo i PC a rischio di essere colpiti dal baco informatico Sasser e la diffusione particolarmente intensa e veloce degli ultimi giorni fa temere l'inizio di ''un'altra epidemia di virus mondiale', secondo quanto stima la Panda Software, una delle maggiori aziende attive nel settore della sicurezza informatica.

Secondo gli esperti dell'azienda, e' possibile che nuove varianti del virus compaiano nei prossimi giorni. 'Sembra che si stia avvicinando un altro attacco simultaneo combinato di diverse varianti', ha osservato in una nota il responsabile di PandaLabs, Luis Corrons.
Al momento, ha proseguito Corrons, sulla base di quanto segnalato dagli utenti dell'azienda, 'i danni maggiori sono stati procurati ai grandi parchi informatici, che nonostante aggiornino gli antivirus, continuano ad essere esposti agli attacchi fino a quando non installeranno la patch di Microsoft'.

Il virus si diffonde scandagliando la rete a caso, alla ricerca di indirizzi IP vulnerabili. 'Gli utenti - ha rilevato l'esperto - possono essere colpiti senza saperlo. L'unico segnale e' che il computer si riavvia ogni volta che si connette a Internet'. Gli utenti piu' esperti possono scoprire l'entrata che Sasser crea nel registro, ossia il file avserve.exe nella cartella di Windows o il processo avserve.exe in memoria. Si puo' anche notare un rallentamento generale del PC. Informazioni dettagliate e consigli su come proteggersi sono presenti in: www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Secondo l'esperto della Panda, il comportamento di Sasser e' simile a quello del worm Blaster, apparso lo scorso 10 agosto. Allora, pero', trascorsero 26 giorni dal momento in cui venne pubblicata la vulnerabilita' alla comparsa del virus. Nel caso di Sasser sono passati solo tre giorni dall'annuncio della vulnerabilita' da parte della Microsoft. ''Nei primi momenti dell'attacco, il giorno 11 di agosto, Blaster arrivo' a colpire circa il 2,50% dei pc analizzati da Panda ActiveScan in tutto il mondo. La variante B di Sasser ha gia' raggiunto circa il 3% in 24 ore'', ha osservato.
03/05/2004 17:30



© Copyright ANSA Tutti i diritti riservati


Super Lupo
00lunedì 3 maggio 2004 18:46
Azz!
Super Lupo
00martedì 4 maggio 2004 00:27
Arriva il worm Sasser

Un pericoloso virus in grado di infettare sistemi Windows senza essere eseguito.

[ZEUS News - www.zeusnews.it - Security Update, 03-05-2004]

Un nuovo virus si sta propagando attraverso sistemi Windows vulnerabili. Si tratta di Sasser e come il temibile Lovsan/Blaster per infiltrarsi nei computer vittima non richiede l'esecuzione di un allegato infetto da parte dell'utente.
Sasser infatti sfrutta una vulnerabilità documentata già da tempo da parte di Microsoft. Il worm si insinua nei computer vittima sfruttando un buffer overflow nel Local Security Authority Subsystem Service (Lsass), riscontrabile solo su sistemi Windows Xp e 2000 che non abbiano applicato l'opportuna patch.

La vulnerabilità è stata messa a nudo da Microsoft il 13 aprile 2004 nel Security Bullettin MS04-011. Lsass.exe è un componente del sistema operativo che si occupa di verificare la validità del nome utente e password al momento del logon.

La particolarità di Sasser è dovuta al fatto che il worm, per trovare sistemi in cui sia presente la vulnerabilità in lsass.exe, scansiona un gran numero di indirizzi Ip casuali e una volta trovato un sistema non patchato sfrutta il buffer overflow e si insinua nel computer vittima.

Attivo nel sistema, il worm crea un terminale remoto sulla porta 9996/TCP ed esegue uno script in grado di generare una connessione sul protocollo FTP utile per scaricare ed eseguire il worm stesso sul sistema vittima. Il computer infetto verrà utilizzato per scansionare altri indirizzi Ip e continuare così il propagarsi del worm.

I sintomi di infezione sono la presenza nella cartella di Windows di un eseguibile chiamato avserve.exe e la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe necessaria per l'avvio automatico di Sasser. Non contento, il worm crea delle copie di se stesso in C:\Windows\System32 con nomi del tipo 11583_up.exe.

Mandando in crash lsass.exe molti sistemi affetti dal worm saranno obbligati a un riavvio improvviso annunciato da un messaggio d'errore relativo proprio al processo Lsass.

Le contromisure per non essere infettati da Sasser sono l'utilizzo di un firewall e lo scaricamento della patch di sicurezza messa a diposizione da Microsoft su Windows Update. Per chi invece fosse già infetto Microsoft ha rilasciato un tool in grado di rimuovere Sasser nelle sue varianti A e B.


Matteo Campofiorito
Super Lupo
00martedì 4 maggio 2004 00:35
LINK PER SCARICARSI LE PATCH

Fermiamo il worm finchè siamo in tempo...
FOIX
00martedì 4 maggio 2004 01:04
PROVVEDO ,SUBITO ..... [SM=x49463]
Super Lupo
00martedì 4 maggio 2004 01:40
Io non sono riuscito a scaricare un bel niente... dice controllare crittografia...
Super Lupo
00martedì 4 maggio 2004 02:54
Io me lo sono beccato!!! [SM=x49397]
Super Lupo
00martedì 4 maggio 2004 03:39
C:\WINDOWS\SYSTEM32\17500_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.C!
C:\WINDOWS\SYSTEM32\3160_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.C!
C:\WINDOWS\SYSTEM32\10987_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.C!
C:\WINDOWS\SYSTEM32\6899_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.C!
C:\WINDOWS\SYSTEM32\24145_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.B!
C:\WINDOWS\SYSTEM32\24151_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.C!
C:\WINDOWS\SYSTEM32\16135_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.C!
C:\WINDOWS\SYSTEM32\6112_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.B!
C:\WINDOWS\SYSTEM32\17388_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.C!
C:\WINDOWS\SYSTEM32\2194_UP.EXE
File has been moved to quarantine directory!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.B!
C:\WINDOWS\SYSTEM32\16408_UP.EXE
File has been deleted!
03/05/2004,0.22 WARNING: Contains signature of the worm Worm/Sasser.C!
C:\WINDOWS\SYSTEM32\16637_UP.EXE
File has been deleted!
03/05/2004,0.26 WARNING: Contains signature of the worm Worm/Sasser.B!
C:\WINDOWS\AVSERVE2.EXE
File has been deleted!
03/05/2004,0.30 WARNING: Contains signature of the worm Worm/Sasser.B!
C:\WINDOWS\AVSERVE2.EXE
Unable to delete the file:
0x00000002 - Impossibile trovare il file specificato.
03/05/2004,0.30 WARNING: Contains signature of the worm Worm/Sasser.B!
Super Lupo
00martedì 4 maggio 2004 16:20
Che bello, faccio parte del 2,16% che se l'è beccato...
spenna
00martedì 4 maggio 2004 16:28
[SM=x49397] capita!
Questa è la versione 'lo-fi' del Forum Per visualizzare la versione completa clicca qui
Tutti gli orari sono GMT+01:00. Adesso sono le 22:54.
Copyright © 2000-2024 FFZ srl - www.freeforumzone.com