Connect with us

technokrata

Hazánkban is gyorsan fertőz a Sasser féreg

Dotkom

Hazánkban is gyorsan fertőz a Sasser féreg

A hétvégén Magyarországon is végigsöpört a Sasser nevű féreg, mely a két hete kiadott Microsoft patch-ek nyomán születhetett meg.

A féreg paraméterei

Felfedezésének ideje: 2004. április 30.
Utolsó frissítés ideje: 2004. május 2.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 15.872 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: magas
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Általános megjegyzések

A féreg olyan gyorsan terjedő jellemzőt mutat, hogy a megfertőzött rendszerek felhasználói számára az antivírus termékkel foglalkozó cégek egy része külön eltávolító eszközt adott ki. A Symantec ezen alkalmazása innen tölthető le.

IP-címek generálásához 128 végrehajtási szálat hoz létre, ami azt eredményezheti, hogy lelassul a számítógép működése. Ez, és a látszólag ok nélküli reboot fontos jelzői a fertőzésnek! A Sasser végleges ellehetetlenítése végett fel kell telepíteni a Microsoft által két hete kiadott összegző javítást!

Aktiválódása esetén lezajló események

– létrehozza a Jobaka3 (vagy Jobaka3l, változattól függően) nevű mutexet, így akadályazandó meg, hogy kétszer is betöltődjön a memóriába; értelemszerűen ha ez nem sikerül neki, felfüggeszti a működését
– bemásolja magát a Windows könyvtárba avserve.exe (vagy avserve2.exe) néven (szintén változattól függően)
– hozzáadja az avserve.exe=[Windows elérési útvonala]/avserve.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az úgynevezett AbortSystemShutdown API-t használja fel avégett, hogy leállítsa vagy újraindítsa a megfertőzött számítógépet
– a rendszer felállása után létrehoz egy FTP szervert az 5554-es TCP porton; ezt használja fel majd önmaga terjesztésére
– megkísérel véletlenszerűen generált IP-címekre csatlakozni a 445-ös TCP porton keresztül
– ha sikerrel járt, elküld neki egy shellkódot, amivel eléri, hogy annak 9996-os TCP portjáról visszacsatlakozik az FTP szerverre (a támadó gép kinyitott 5554-es TCP portján át)
– a fentieket követően átküldésre kerül a féreg másolata, melynek neve egy 4 vagy 5 számjegyből és egy _up sztringből áll, kiterjesztése pedig EXE lesz (tehát például 74354_up.exe)
– a féreg által létrehozott IP-címeket a következőképp állítja elő:
. 50 százalékuk teljesen véletlenszerű
. 25 százalékuk első 8 bitje megegyezik a megfertőződött host ezen értékével, a többi véletlenszerű
. a fennmaradó 25 százalékuk első és második 8 bitje is megegyezik a megfertőződött host ezen értékével, a többi véletlenszerű



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek