Comparso nel maggio del 2004, il virus
Sasser (conosciuto anche con il nome di
W32/Sasser.worm,
W32.Sasser.Worm,
Worm.Win32.Sasser.a,
Worm.Win32.Sasser.b o
Win32.Sasser) è un virus che sfrutta una falla del servizio
LSASS (
Local Security Authority Subsystem Service, corrispondente all'eseguibile
lsass.exe) di Windows. La comparsa di questo primo virus che sfrutta il bug del servizio LSASS di Windows ha avuto luogo due settimane dopo la pubblicazione dello stesso bug e la messa a disposizione dei primi strumenti di correzione. I sistemi infetti riguardano i sistemi Windows NT 4.0, 20.
Azioni del virus
Il worm
Sasser è programmato in modo tale da lanciare 128 processi (1024 nel caso della variante SasserC) incaricati di scannerizzare un elenco di
indirizzi IP casuale alla ricerca dei sistemi vulnerabili alla falla LSASS sulla
porta 445/TCP.
Il virus installa un
server FTP sulla porta 5554 per rendersi disponibile a scaricare ad altri computer infetti, poi, quando trova un terminale vulnerabile, il worm apre una shell da remoto sul terminale (sulla porta TCP 9996) e forza il terminale da remoto a scaricare una copia del worm (detta
avserve.exe o
avserve2.exe per la variante Sasser.B) nella cartella di Windows.
Una volta scaricato il file, esso crea un file chiamato
win.log (o
win2.log per la variante Sasser.B) nella cartella
c:\ per registrare il numero di terminali che ha infettato. Successivamente crea dati nel database di registro per rilanciarsi automaticamente ad ogni riavvio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe
o
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve.exe -> C:\%WINDIR%\avserve.exe
.
Il virus chiama la funzione "
AbortSystemShutdown" per impedire il riavvio (o la sua disattivazione) da parte dell'utente o da altri virus.
Sintomi
Lo sfruttamento della vulnerabilità LSASS provoca un certo numero di disfunzioni nei sistemi infetti, legati al blocco del servizio LSASS (processo
lsass.exe). I sistemi vulnerabili presentano i tra i sintomi:
Riavvii tempestivi, ovvero il sistema visualizza il seguente messaggio:
Blocco del sistema iniziato da Autorite/System;
Il processo di sistema: C:\WINDOWS\system32\Isass.exe è stato chiuso in modo improvviso con il codice di stato 128
ma anche traffico di rete sulle porte TCP 445, 5554 e 9996;
L'arresto brutale di 'LSASS.EXE' con una finestra di errore che riporta:
lsass.exe - application error
.
Rimedi
Per sradicare il virus Sasser, il metodo migliore consiste innanzitutto nel proteggere il sistema
attivando il firewall.
Su Windows XP basta andare su
Start,
Pannello di configurazione e
Connessioni di rete. Cliccate poi con il tasto destro sulla connessione collegata a internet, poi cliccate su
Proprietà. Selezionate l'opzione
Parametri avanzati, poi selezionare la casella
Proteggere il proprio computer e la rete limitando o impedendo l'accesso a questo computer partendo da internet e validate cliccando su
OK.
È in seguito indispensabile aggiornare il sistema attraverso
Windows Update oppure aggiornando il vostro sistema con il patch seguente corrispondente al vostro sistema operativo.
Potete infine disinfettare il sistema con il seguente kit: Scaricare il kit di disinfezione virus.
D'altra parte, visto che il virus si diffonde attraverso la rete, si consiglia vivamente di installare un
firewall personale sui vostri terminali connessi a internet e di filtrare le porte tcp/445, tcp/5554 e tcp/9996.
Ulteriori informazioni sul virus
Secuser (faille LSASS).
Foto: © Martial Red – Shutterstock.com