Connect with us

technokrata

Új változat a Sasser féregvírusból

Dotkom

Új változat a Sasser féregvírusból

Az alig egy hete terjedő féreg már az E változatnál jár.

A féreg paraméterei

Felfedezésének ideje: 2004. május 9.
Utolsó frissítés ideje: 2004. május 9.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 15.872 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: magas
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Általános megjegyzések

IP-címek generálásához 128 végrehajtási szálat hoz létre, ami azt eredményezheti, hogy lelassul a számítógép működése. Ez, és a látszólag ok nélküli reboot fontos jelzői a fertőzésnek! A Sasser végleges ellehetetlenítése végett fel kell telepíteni a Microsoft által egy hónapja kiadott összegző javítást!

Aktiválódása esetén lezajló események

– létrehozza a SkynetNotice mutexet, és kilép, ha ez nem sikerül; így csak egyszer töltődik be a memóriába
– felmásolja magát a Windows könyvtárba lsasss.exe néven
– hozzáadja az lsasss.exe=[Windows]/lsasss.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli az ssgrate.exe, a drvsys.exe és a Drvddll_exe bejegyzéseket a fenti kulcsból, ha azok már léteznek ott (ezek egyébként a számítógép Beagle féregvírussal való korábbi megfertőződésére utalnak)
– az úgynevezett AbortSystemShutdown API-t használja fel avégett, hogy leállítsa vagy újraindítsa a megfertőzött számítógépet; ennek során az alábbi négy üzenet valamelyikét jeleníti meg:
1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website
4. This is an message from the SkyNet Team for malicious activity prevention
– a 1023-as TCP porton keresztül FTP szerver indít; ezt használja majd fel terjedéséhez
– a Windows API gethostbyname utasításával megszerzi a PC IP-címét
– a féreg által létrehozott IP-címeket a következőképp állítja elő:
. 52 százalékuk teljesen véletlenszerű
. 23 százalékuk első, második és harmadik is 8 bitje megegyezik a megfertőződött host ezen értékével, a többi véletlenszerű
. a fennmaradó 25 százalékuk első és második 8 bitje is megegyezik a megfertőződött host ezen értékével, a többi véletlenszerű
– a 445-ös TCP porton csatlakozódik a távoli számítógépekhez, és amennyiben ez sikerrel járt, elküld neki egy shellkódot, amivel eléri, hogy annak 1022-os TCP portjáról visszacsatlakozhat az FTP szerverre
– a fentieket követően átküldésre kerül a féreg másolata, melynek neve egy 4 vagy 5 számjegyből és egy _up sztringből áll, kiterjesztése pedig EXE lesz (tehát például 74354_up.exe
– az Lsass.exe process összeomlik, miután a féreg kihasználta a Windows LSASS sebezhetőségét; a Windows hibaüzenetet jelez ki, majd egy percen belül leállítja a rendszert
– létrehozza a C meghajtóban az ftplog.txt állományt, mely azokat az IP-címeket tartalmazza, amiket a féreg a leggyakrabban kísérelt megfertőzni, illetve az áldozatul esett PC-k száma is ebbe a file-ba kerül



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek