Il worm Sasser
Comparso nel maggio del 2004, il virus Sasser (conosciuto anche con il nome di W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b o Win32.Sasser) è un virus che sfrutta una falla del servizio LSASS (Local Security Authority Subsystem Service, corrispondente all'eseguibile lsass.exe) di Windows. La comparsa di questo primo virus che sfrutta il bug del servizio LSASS di Windows ha avuto luogo due settimane dopo la pubblicazione dello stesso bug e la messa a disposizione dei primi strumenti di correzione. I sistemi infetti riguardano i sistemi Windows NT 4.0, 20.
Il virus installa un server FTP sulla porta 5554 per rendersi disponibile a scaricare ad altri computer infetti, poi, quando trova un terminale vulnerabile, il worm apre una shell da remoto sul terminale (sulla porta TCP 9996) e forza il terminale da remoto a scaricare una copia del worm (detta avserve.exe o avserve2.exe per la variante Sasser.B) nella cartella di Windows.
Una volta scaricato il file, esso crea un file chiamato win.log (o win2.log per la variante Sasser.B) nella cartella c:\ per registrare il numero di terminali che ha infettato. Successivamente crea dati nel database di registro per rilanciarsi automaticamente ad ogni riavvio:
Il virus chiama la funzione "AbortSystemShutdown" per impedire il riavvio (o la sua disattivazione) da parte dell'utente o da altri virus.
Riavvii tempestivi, ovvero il sistema visualizza il seguente messaggio:
L'arresto brutale di 'LSASS.EXE' con una finestra di errore che riporta:
Su Windows XP basta andare su Start, Pannello di configurazione e Connessioni di rete. Cliccate poi con il tasto destro sulla connessione collegata a internet, poi cliccate su Proprietà. Selezionate l'opzione Parametri avanzati, poi selezionare la casella Proteggere il proprio computer e la rete limitando o impedendo l'accesso a questo computer partendo da internet e validate cliccando su OK.
È in seguito indispensabile aggiornare il sistema attraverso Windows Update oppure aggiornando il vostro sistema con il patch seguente corrispondente al vostro sistema operativo.
Potete infine disinfettare il sistema con il seguente kit: Scaricare il kit di disinfezione virus.
D'altra parte, visto che il virus si diffonde attraverso la rete, si consiglia vivamente di installare un firewall personale sui vostri terminali connessi a internet e di filtrare le porte tcp/445, tcp/5554 e tcp/9996.
Foto: © Martial Red – Shutterstock.com
Azioni del virus
Il worm Sasser è programmato in modo tale da lanciare 128 processi (1024 nel caso della variante SasserC) incaricati di scannerizzare un elenco di indirizzi IP casuale alla ricerca dei sistemi vulnerabili alla falla LSASS sulla porta 445/TCP.Il virus installa un server FTP sulla porta 5554 per rendersi disponibile a scaricare ad altri computer infetti, poi, quando trova un terminale vulnerabile, il worm apre una shell da remoto sul terminale (sulla porta TCP 9996) e forza il terminale da remoto a scaricare una copia del worm (detta avserve.exe o avserve2.exe per la variante Sasser.B) nella cartella di Windows.
Una volta scaricato il file, esso crea un file chiamato win.log (o win2.log per la variante Sasser.B) nella cartella c:\ per registrare il numero di terminali che ha infettato. Successivamente crea dati nel database di registro per rilanciarsi automaticamente ad ogni riavvio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exeo
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve.exe -> C:\%WINDIR%\avserve.exe.
Il virus chiama la funzione "AbortSystemShutdown" per impedire il riavvio (o la sua disattivazione) da parte dell'utente o da altri virus.
Sintomi
Lo sfruttamento della vulnerabilità LSASS provoca un certo numero di disfunzioni nei sistemi infetti, legati al blocco del servizio LSASS (processo lsass.exe). I sistemi vulnerabili presentano i tra i sintomi:Riavvii tempestivi, ovvero il sistema visualizza il seguente messaggio:
Blocco del sistema iniziato da Autorite/System;ma anche traffico di rete sulle porte TCP 445, 5554 e 9996;
Il processo di sistema: C:\WINDOWS\system32\Isass.exe è stato chiuso in modo improvviso con il codice di stato 128
L'arresto brutale di 'LSASS.EXE' con una finestra di errore che riporta:
lsass.exe - application error.
Rimedi
Per sradicare il virus Sasser, il metodo migliore consiste innanzitutto nel proteggere il sistema attivando il firewall.Su Windows XP basta andare su Start, Pannello di configurazione e Connessioni di rete. Cliccate poi con il tasto destro sulla connessione collegata a internet, poi cliccate su Proprietà. Selezionate l'opzione Parametri avanzati, poi selezionare la casella Proteggere il proprio computer e la rete limitando o impedendo l'accesso a questo computer partendo da internet e validate cliccando su OK.
È in seguito indispensabile aggiornare il sistema attraverso Windows Update oppure aggiornando il vostro sistema con il patch seguente corrispondente al vostro sistema operativo.
Potete infine disinfettare il sistema con il seguente kit: Scaricare il kit di disinfezione virus.
D'altra parte, visto che il virus si diffonde attraverso la rete, si consiglia vivamente di installare un firewall personale sui vostri terminali connessi a internet e di filtrare le porte tcp/445, tcp/5554 e tcp/9996.
Ulteriori informazioni sul virus
Secuser (faille LSASS).Foto: © Martial Red – Shutterstock.com
Il documento intitolato « Il worm Sasser » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.
