Il worm Sasser

Comparso nel maggio del 2004, il virus Sasser (conosciuto anche con il nome di W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b o Win32.Sasser) è un virus che sfrutta una falla del servizio LSASS (Local Security Authority Subsystem Service, corrispondente all'eseguibile lsass.exe) di Windows. La comparsa di questo primo virus che sfrutta il bug del servizio LSASS di Windows ha avuto luogo due settimane dopo la pubblicazione dello stesso bug e la messa a disposizione dei primi strumenti di correzione. I sistemi infetti riguardano i sistemi Windows NT 4.0, 20.

Azioni del virus

Il worm Sasser è programmato in modo tale da lanciare 128 processi (1024 nel caso della variante SasserC) incaricati di scannerizzare un elenco di indirizzi IP casuale alla ricerca dei sistemi vulnerabili alla falla LSASS sulla porta 445/TCP.

Il virus installa un server FTP sulla porta 5554 per rendersi disponibile a scaricare ad altri computer infetti, poi, quando trova un terminale vulnerabile, il worm apre una shell da remoto sul terminale (sulla porta TCP 9996) e forza il terminale da remoto a scaricare una copia del worm (detta avserve.exe o avserve2.exe per la variante Sasser.B) nella cartella di Windows.

Una volta scaricato il file, esso crea un file chiamato win.log (o win2.log per la variante Sasser.B) nella cartella c:\ per registrare il numero di terminali che ha infettato. Successivamente crea dati nel database di registro per rilanciarsi automaticamente ad ogni riavvio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe

o

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve.exe -> C:\%WINDIR%\avserve.exe

.

Il virus chiama la funzione "AbortSystemShutdown" per impedire il riavvio (o la sua disattivazione) da parte dell'utente o da altri virus.

Sintomi

Lo sfruttamento della vulnerabilità LSASS provoca un certo numero di disfunzioni nei sistemi infetti, legati al blocco del servizio LSASS (processo lsass.exe). I sistemi vulnerabili presentano i tra i sintomi:

Riavvii tempestivi, ovvero il sistema visualizza il seguente messaggio:

Blocco del sistema iniziato da Autorite/System;
Il processo di sistema: C:\WINDOWS\system32\Isass.exe è stato chiuso in modo improvviso con il codice di stato 128

ma anche traffico di rete sulle porte TCP 445, 5554 e 9996;

L'arresto brutale di 'LSASS.EXE' con una finestra di errore che riporta:

lsass.exe - application error

.

Rimedi

Per sradicare il virus Sasser, il metodo migliore consiste innanzitutto nel proteggere il sistema attivando il firewall.

Su Windows XP basta andare su Start, Pannello di configurazione e Connessioni di rete. Cliccate poi con il tasto destro sulla connessione collegata a internet, poi cliccate su Proprietà. Selezionate l'opzione Parametri avanzati, poi selezionare la casella Proteggere il proprio computer e la rete limitando o impedendo l'accesso a questo computer partendo da internet e validate cliccando su OK.

È in seguito indispensabile aggiornare il sistema attraverso Windows Update oppure aggiornando il vostro sistema con il patch seguente corrispondente al vostro sistema operativo.

Potete infine disinfettare il sistema con il seguente kit: Scaricare il kit di disinfezione virus.

D'altra parte, visto che il virus si diffonde attraverso la rete, si consiglia vivamente di installare un firewall personale sui vostri terminali connessi a internet e di filtrare le porte tcp/445, tcp/5554 e tcp/9996.

Ulteriori informazioni sul virus

Secuser (faille LSASS).

Foto: © Martial Red – Shutterstock.com

I nostri contenuti sono creati in collaborazione con esperti di high-tech, sotto la direzione di Jean-François Pillou, fondatore di CCM.net. CCM è un sito di high-tech leader a livello internazionale ed è disponibile in 11 lingue.
Il documento intitolato « Il worm Sasser » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.